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内 容 简 介 


Windows Server 2008 R2 是 Microsoft 最 新 一 代 的 服务 器 操作 系统 ， 功 能 十 分 丰富 ， 可 以 用 来 构建 可 靠 、 
灵活 的 服务 器 基础 结构 。 现 在 许多 单位 的 网 络 仍然 是 Windows Server 2003/2008， 这 些 企业 会 面临 从 Windows 
Server 2003 或 Windows Server 2008 升级 到 Windows Server 2008 R2 的 问题 。 本 书 选择 企业 关心 的 问题 进行 介 
绍 ， 并 通过 设计 多 个 场景 让 企业 对 升级 的 过 程 进 行 模拟 与 测试 ， 让 网 络 管理 员 学 会 并 掌握 这 些 内 容 ， 以 管理 
最 新 的 Windows Server 2008 R2 网 络 。 

本 书 内 容 翔 实 ， 结 构 清晰 ， 以 实践 应 用 为 主 、 理 论 为 辅 ， 全 面 系统 地 介绍 了 Windows Server 2008 R2 系 
统管 理 、 网 络 维护 和 网 络 应 用 的 解决 方案 。 

本 书 适合 作为 Windows Server 2008 R2 系统 管理 员 和 网 络 维护 人 员 阅读 ， 也 可 供 从 事 网 络 维护 与 系统 集 
成 工作 的 读者 参考 ， 还 可 以 作为 各 大 中 专 院 校 相 关 专 业 的 教材 。 另 外 ， 本 书 对 于 正 从 事 Windows 网 络 组 建 、 
网 络 管理 、 网 络 应 用 的 工作 人 员 提 高 技术 水 平 ， 增 加 组 网 经 验 有 极 大 帮助 。 
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前 


Windows Server 2008 R2 是 目前 Microsoft 最 新 的 服务 器 操作 系统 ， 功 能 相当 丰富 。 本 书 介绍 
适合 管理 中 国 国情 的 Windows 网 络 所 必需 的 一 些 服务 ， 例 如 DNS、DHCP、WINS、WSUS、 共 享 
文件 夹 、 远 程 管理 等 。 本 书 不 仅 适合 读者 入 门 、 还 可 以 快速 提高 读者 使 用 Windows Server 2008 R2 
管理 网 络 的 能 力 及 水 平 ， 笔 者 还 将 多 年 来 管理 、 使 用 Windows Server 网 络 中 碰 到 的 一 些 问 题 及 经 
验 倾 圳 相 授 ， 让 读者 在 管理 、 升 级 与 维护 Windows 网 络 的 过 程 中 少 走 弯 路 。 


本 书 内 容 


本 书 全 面 系统 地 为 Windows Server 2008 R2 系统 管理 员 提 供 系 统管 理 和 网 络 维护 、 网 络 应 用 的 
解决 方案 ， 本 书 共有 16 章 ， 有 具体 内 容 安排 如 下 : 

第 1 章 ，Windows Server 2008 R2 系统 管理 概述 , 介绍 Windows 产品 的 划分 与 命名 、Windows 
Server 2008 R2 组 件 的 组 成 、 在 网 络 中 选择 合适 的 Windows Server 2008 产品 与 版 本 , 还 介绍 了 怎样 
学 好 Windows Server 2008 R2 的 “三 步 曲 ”， 最 后 介绍 在 虚拟 机 中 安装 Windows Server 2008 R2 的 
内 容 。 

第 2 章 ，Windows Server 2008 R2 基本 配置 ， 介 绍 Windows Server 2008 R2 的 基本 操作 ， 例 如 
修改 瑟 地 址 、 修 改 计算 机 名 称 、Windows Server 中 “多 网 络 设置 ”、Windows 防火 墙 设置 、 系 统 
任务 、 设 备 管理 器 等 ， 还 介绍 “本 地 用 户 和 组 ”的 管理 等 内 容 。 

第 3 章 ， 基 本 网 络 服务 ， 介 绍 Windows 网 络 中 的 “三 大 基本 网 络 服务 ”， 即 DNS、DHCP、 
WINS 服务 器 的 基本 知识 。 

第 4 章 , 磁盘 与 文件 系统 管理 , 介绍 磁盘 与 存储 的 关系 、RAID5 基础 知识 、NTFS 文件 系统 等 ， 
介绍 磁盘 与 卷 管理 、 在 Windows Server 2008 R2 中 创建 镜像 卷 、RAID5 卷 、NTFS 权限 、NTFS 压 
缩 与 加 密 、BitLocker 驱动 器 加 密 、 磁 盘 配 额 、 文 件 夹 配额 与 文件 屏幕 、 文 件 和 打印 机 共享 、 卷 影 
副本 等 内 容 。 

第 5 章 ，Intemet 信息 服务 器 管理 与 应 用 ， 介 绍 Web 服务 器 与 FTP 服务 器 的 管理 与 应 用 内 容 ， 
还 介绍 最 新 的 Windows Server 2008 R2 的 FTP 服务 器 支持 双 线 WAN 的 配置 方法 。 

第 6 章 ，Microsoft 系统 更 新 服务 器 WSUS 服务 器 的 内 容 ， 介 绍 WSUS 的 安装 、 配 置 与 管理 ， 
以 及 WSUS 的 常见 故障 及 解决 方法 。 

第 7 章 ，Active Directory 网 络 管理 ， 介 绍 Windows Server 2008 R2 中 Active Directory 网 络 规 
划 ，Active Directory 用 户 与 用 户 组 管理 ， 以 及 将 Windows XP、Windows 7 计算 机 加 入 到 域 ， 使 用 
Windows 7 远程 管理 Windows Server 2008 R2 的 内 容 。 

第 8 章 ， 使 用 组 策略 管理 网 络 ， 介 绍 组 策略 基础 、 使 用 组 策略 定制 用 户 的 环境 、 使 用 组 策略 
发 布 软件 ， 包 括 发 布 Office 2003、Office 2010 的 内 容 。 还 介绍 了 最 新 的 Windows Server 2008 R2 
中 “首选 项 ”的 使 用 。 


前 官 


第 9 章 ， 使 用 RMS 保护 企业 内 部 的 Office 文档 ， 介 绍 使 用 Microsoft RMS 保护 企业 内 部 资料 
不 被 窃取 的 内 容 。 使 用 RMS， 可 以 让 指定 的 用 户 、 在 指定 的 时 间 ( 以 服务 器 时 间 为 准 ) 以 及 指定 
的 时 间 范 围 内 、 以 指定 的 行为 (只 读 、 不 允许 复制 、 不 允许 打印 等 ) 查看 指定 的 文档 。 即 使 非 授 权 
用 户 非 法 复制 受 保护 的 文档 ， 也 不 能 打开 并 查看 其 内 容 。 

第 10 章 ，DFS 分 布 式 文件 系统 管理 与 应 用 ,介绍 Windows Server 2008、Windows Server 2008 
R2 中 的 分 布 式 文件 系统 的 应 用 。 

第 11 章 ，Hyper-V Server 2008 虚拟 化 产品 配置 、 应 用 与 管理 ,介绍 Microsoft 服务 器 虚拟 化 的 
产品 Hyper-V 的 应 用 ,包括 Hyper-V 的 选择 、 安 装配 置 、Hyper-V 基础 知识 ， 在 Hyper-V 中 创建 虚 
拟 机 、 创 建 模板 虚拟 机 、 在 虚拟 机 中 安装 操作 系统 、 导 出 导入 虚拟 机 、 差 异 磁 盘 等 内 容 。 

第 12 章 ， 使 用 SCVMM2008 R2 管理 Hyper-V， 介 绍 Microsoft 专用 虚拟 机 管理 工具 SCVMM 
2008 R2 管理 Hyper-V 的 内 容 ， 包 括 SCVMM 2008 R2 的 安装 配置 、 共 享 服务 器 与 库 共享 资源 、 使 
用 VMM 在 Hyper-V 中 创建 虚拟 机 、 在 虚拟 机 中 安装 操作 系统 、 创 建 虚拟 机 的 模板 与 模板 使 用 、 
虚拟 机 的 迁移 等 。 

第 13 章 ， Windows Server 2008 R2 终端 虚拟 化 应 用 ， 介 绍 Windows Server 2008 R2 的 终端 虚 
拟 化 的 基础 知识 、 安 装 用 于 终端 虚拟 化 的 程序 、 发 布 RemoteApp 应 用 程序 等 。 使 用 终端 虚拟 化 ， 
可 以 解决 企业 工作 站 频繁 升级 的 问题 。 

第 14 章 , 从 Windows Server 2003 升级 到 Windows Server 2008 R2, 介绍 怎样 从 现 有 的 Windows 
Server 2003 网 络 升级 到 最 新 的 Windows Server 2008 R2 的 内 容 , 包括 Active Directory、DHCP 的 升 
级 ， 以 及 从 ISA Server 2006 升级 到 Forefront TMG 2010 等 内 容 。 

第 15 章 ， 使 用 网 络 为 工作 站 部 署 操作 系统 ， 介 绍 使 用 Windows 部 署 服 务 ， 通 过 网 络 为 工作 站 
安装 、 部 署 Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 的 内 容 。 

第 16 章 , Forefront TMG 2010 系统 管理 与 应 用 , 介绍 Microsoft 最 新 的 集 防火 墙 、 代 理 服务 器 、 
入 侵 检测 于 一 身 的 安全 软件 Forefront Threat Management Gateway 2010 的 内 容 , 包 括 Forefront TMG 
的 安装 、 配 置 、 防 火 墙 策略 、 发 布 服 务 器 ， 以 及 使 用 Forefront TMG 组 建 SSTP、PPTP 与 L2TP 的 
VPN 服务 器 、VPN 路 由 的 内 容 。 在 本 节 中 ， 还 介绍 了 Windows Server 2008 R2 证 书 服务 的 配置 与 
应 用 等 内 容 。 


本 书 的 学 习 原则 


尽管 写本 书 时， 编者 精心 设计 了 每 个 场景 、 案 例 ， 已 经 考虑 到 一 些 相关 企业 的 共性 问题 ， 但 
是 ， 就 像 天 下 没有 完全 相同 的 两 个 人 一 样 ， 每 个 企业 都 有 自己 的 特点 和 需求 。 所 以 ， 这 些 案例 可 能 
并 不 能 完全 适合 你 的 企业 ， 在 实际 应 用 时 需要 根据 企业 的 情况 进行 改动 。 

技术 类 的 图 书 ， 有 时 候 看 一 遍 可 能 会 看 不 慌 ， 这 不 要 紧 ， 只 要 多 想 想 ， 多 看 几 遍 可 能 就 明白 
了 。 技 术 ， 尤 其 是 专业 的 技术 ， 相 对 来 说 比较 枯燥 。 所 以 ， 有 时 候 需 要 多 次 阅读 、 思 考 ， 并 反复 进 
行 实验 ， 直 到 学 会 每 个 知识 。 

本 书 很 好 地 利用 了 插图 进行 详细 的 产品 使 用 解说 ， 为 系统 管理 人 员 提供 了 可 以 按部就班 进行 
参照 的 工作 手册 。 所 以 ， 我 们 推荐 读者 采用 如 下 方式 进行 学 习 


@” 照 做 实验 ， 关 键 是 计算 机 的 名 称 、IP 地 址 、 子 网 掩 码 、DNS 设置 等 。 


@ 自己 修改 关键 数据 (计算 机 名 称 、IP 地 址 、DNS 域名 等 ) ， 再 做 实验 。 
@ 将 实验 环境 改造 ， 用 于 实际 工作 环境 。 
@ 使 用 注意 事项 、 备 份 策略 、 做 记录 等 。 


作者 简介 


本 书 作者 王 春 海 ，1993 年 开始 学 习 计算 机 ，1995 年 开始 从 事 网 络 方面 的 工作 ，1996 年 开始 使 
用 Windows NT Server 3.51 组 建 全 省 国税 系统 的 网 络 ， 其 后 亲历 了 Microsoft 每 个 产品 测试 版 到 正 
式 版 的 使 用 、 升 级 与 维护 ， 直 到 现在 的 Windows Server 2008 R2。 作 者 一 直 维护 与 管理 Windows 
网 络 ， 期 间 积累 了 大 量 的 经 验 与 心得 ， 这 些 都 穿插 在 书 中 。 

本 书 作 者 在 网 络 应 用 、 网 络 组 建 、 网 络 安全 、 虚 拟 机 技术 等 多 个 方面 都 有 很 深 的 研究 ， 精 通 
Microsoft 的 ISA Server、 Forefront TMG、Windows Server 2003、Windows Server 2008、SharePoint、 
Exchange 等 多 个 方面 的 产品 ， 是 2009 年 度 Microsoft Management Infrastructure 方面 的 MVP (微软 
最 有 价值 专家 ) 、2010 一 2011 年 度 Microsoft Forefront (ISA Server) MVP。 

作者 曾经 主持 组 建 过 省 国税 、 地 税 、 市 铁路 分 局 (全 省 范围 ) 的 广域网 组 网 工作 ， 近 几 年 一 
直 从 事 政府 等 单位 的 网 络 升级 、 改 造 与 维护 工作 ， 参 与 了 多 家 政府 、 企 事业 单位 组 建 并 维护 包括 
Windows、Linux 网 络 在 内 的 多 种 网 络 ， 在 长 期 的 工作 中 积累 了 大 量 的 经 验 并 解决 了 许多 问题 。 

本 书 主要 由 王 春 海 、 薄 鹏 编写 ， 盖 俊 飞 、 赵 艳 、 张 丽 荣 、 高 红 玮 、 朱 淑敏 、 任 文 霞 、 杜 卫 国 、 
马 卫 华 、 曹 志 霞 、 包 磊 、 贾 启 海 、 韩 山峰 、 杨 成 二 、 周 延 雄 、 卢 松 波 、 张 超 等 人 也 编写 了 本 书 的 部 
分 内 容 。 

由 于 编者 水 平 有 限 ， 并 且 本 书 涉及 的 系统 与 知识 点 很 多 ， 尽 管 笔者 力求 完善 ， 但 仍 难免 有 不 
妥 和 错误 之 处 , 诚恳 地 期 望 广大 读者 和 各 位 专家 不 音 指教 。 有 关 本 书 的 意见 反馈 和 更 新 消息 以 及 读 
者 在 学 习 中 遇 到 的 问题 ， 可 以 通过 下 列 方式 与 作者 联系 。 

作者 个 人 网 站 : http://www.wangchunhai.cn 

51cto 专家 博客 : http://wangchunhai.blog.51cto.com 

电子 邮件 : wangchunhai@wangchunhai.cn 

因为 笔者 在 网 络 、 虚 拟 机 、 数 据 恢复 方面 出 版 了 多 本 图 书 ， 所 以 ， 在 您 给 我 发 送 邮件 时 ， 请 
写 清 您 阅读 的 是 我 写 的 哪 一 本 书 、 在 学 习 哪 一 章 时 碰 到 了 那样 的 问题 ， 并 且 介绍 您 当前 的 实验 (或 
生产 ) 环境 ， 最 好 是 将 错误 截图 附 在 文档 中 ， 您 提供 的 信息 越 多 、 越 详细 ， 我 能 提供 的 帮助 会 越 准 
确 、 越 及 时 。 


王 春 海 
2011 年 10 月 
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第 1 章 Windows Server 2008 R2 系统 管理 概述 


许多 人 经 常 问 我 , Windows Server 2008 R2 有 什么 用 ? 能 干什么 ? 有 什么 好 外 ? 它 与 Windows 
XP、Windows 7 有 什么 区 别 ? 也 有 的 人 说 ， 我 现在 的 系统 是 Windows Server 2003， 感 觉 就 已 经 很 
好 了 ， 用 不 着 Windows Server 2008 R2。Windows Server 2008 R2 是 不 是 对 服务 器 的 要 求 很 高 ? 学 
习 是 不 是 很 难 呢 ? 我 能 不 能 学 会 呀 ? 还 有 人 说 ,我 已 经 会 安装 Windows Server 2008 R2 了 ， 大 部 分 
功能 也 差不多 理解 了 , 但 这 些 怎 么 用 呢 ? 在 什么 地 方 什么 时 候 用 呢 ? 作为 本 书 的 开篇 之 章 , 我 们 将 
逐一 回答 这 些 问题 。 


1.1 Microsoft 产品 划分 与 命名 


首先 来 介绍 Microsoft 产品 的 划分 与 命名 原则 。Microsoft 产品 众多 ， 包 括 “ 操 作 系统 ”、“ 服 
务 器 ”、“ 应 用 程序 ”、“ 开 发 人 员工 具 ”、“ 设 计 人 员工 具 ”、“ 了 Business Solutions” 等 。 


1.1.1 ”Microsoft 操作 系统 


Microsoft 操作 系统 包括 MS-DOS、Windows 3.x、Windows 95、Windows 98、Windows ME、 
Windows 2000、Windows XP、Windows Vista、Windows 7、Windows NT、Windows Server 2008、 
Windows Server 2008 R2、Windows Home Server、Windows Small Business Server、Windows Storage 
Server、Windows Essential Business Server、Windows CE 等 产品 。 

我 们 经 常 听 到 “客户 /服务 器 ”系统 或 “C/S” 系 统 ， 这 里 的 C 是 Client (工作 站 ) 的 简称 ，S 
是 Server (服务 器 ) 的 简称 。 对 于 Microsoft 操作 系统 来 说 ， 其 产品 划分 为 工作 站 与 服务 器 两 大 类 。 
例如 ,当前 流行 的 Windows XP、Windows 7 属于 工作 站 操作 系统 , 而 Windows Server 2003、Windows 
Server 2008、Windows Server 2008 R2 则 属于 服务 器 操作 系统 。 

对 于 每 个 操作 系统 来 说 ， 由 于 对 用 户 的 定位 不 同 ， 还 可 能 会 有 多 个 版 本 。 例 如 ，Windows XP 
包括 Windows XP Professional (专业 版 ) 、Windows XP Home (家 庭 版 ) 、Windows XP Media Center 
Edition (专门 为 个 人 电脑 使 用 的 媒体 中 心 版 本 ) 、Windows XP Tablet PC Edition (为 平板 可 旋转 式 
的 笔记 本 电脑 Tablet PC 设计 的 版 本 )、Windows XP Embedded (嵌入 式 版 本 )。 另 外 , 对 于 Windows 
XP 来 说 ， 还 包括 Windows XP Professional N 和 Windows XP Home Edition N 版 本 ， 这 是 微软 公司 
根据 欧盟 的 裁决 在 欧盟 成 员 国 发 布 的 不 带 Windows Media Player 的 Windows XP 版 本 .Windows XP 
Professional 还 分 32 位 与 64 位 版 本 。 
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对 于 当前 最 流行 的 个 人 《工作 站 ) 操作 系统 Windows 7， 包 括 Windows 7 Starter (简易 版 ) 、 
Windows 7 Home Basic (家 庭 普 通 版 ) 、Windows 7 Home Premium (家 庭 高 级 版 ) 、Windows 7 
Professional (专业 版 ) 、Windows 7 Enterprise (企业 版 )、Windows 7 Ultimate (旗舰 版 ) 6 个 版 本 ， 
其 中 除了 Windows 7 Starter 只 有 32 位 版 本 外 , 其 他 产品 还 分 32 位 与 64 位 版 本 。Windows 7 Starter、 
Windows 7 Home Basic、Windows 7 Home Premium 适合 家 庭 或 个 人 用 户 使 用 ， 如 果 是 在 企业 使 用 ， 
则 需要 使 用 Windows 7 Professional、Windows 7 Enterprise、Windows 7 Ultimate 版 本 。 

Windows Server 2003 有 Web 版 、Standard (标准 版 )、Enterprise 〈 企 业 版 )、Datacenter (数据 
中 心 版 )， 其 中 标准 版 、 企 业 版 、 数 据 中 心 版 都 有 32 位 与 64 位 版 本 。Windows Server 2003 各 版 本 
的 区 别 如 下 : 


@ Windows Server 2003 Web 版 用 于 构建 和 存放 Web 应 用 程序 、 网 页 和 XML Web Services。 
它 主要 使 用 IIS 6.0 Web 服务 器 并 提供 快速 开发 和 部 署 使 用 ASP.NET 技术 的 XML Web 
Services 和 应 用 程序 。 支 持 双 处 理 器 ， 最 低 支持 256MB 的 内 存 ， 最 高 支持 2GB 的 内 存 。 

@ Windows Server 2003 标准 版 的 销售 目标 是 中 小 型 企业 ， 支 持 文 件 和 打印 机 共享 ， 提 供 安 
全 的 Internet 连接 ， 允 许 集中 的 应 用 程序 部 署 。 它 支持 4 个 处 理 器 ,最低 支持 256MB 的 内 
存 ， 最 高 支持 4GB 的 内 存 。 

@ Windows Server 2003 企业 版 支持 高 性 能 服务 器 ， 并 且 可 以 群集 服务 器 ， 以 便 处 理 更 大 的 
负荷 。 通 过 这 些 功 能 实现 了 可 靠 性 ， 有 助 于 确保 系统 即使 在 出 现 问 题 时 仍 可 用 。 在 一 个 系 
统 或 分 区 中 最 多 支持 8 个 处 理 器 ，8 节点 群集 ， 最 高 支持 32GB 的 内 存 。 

e@ Windows Server 2003 数据 中 心 版 是 针对 要 求 最 高 级 别 的 可 伸缩 性 、 可 用 性 和 可 靠 性 的 大 
型 企业 或 国家 机 构 等 设计 的 .32 位 版 本 支持 32 个 处 理 器 ,支持 8 节点 集群 ;最 低 要 求 128MB 
内 存 ， 最 高 支持 512GB 的 内 存 。64 位 版 本 支持 Itanium 和 Itanium2 两 种 处 理 器 ， 支 持 64 
个 处 理 器 ， 支 持 8 节点 集群 ， 最 低 支持 1GB 的 内 存 ， 最 高 支持 512GB 的 内 存 。 


Windows Server 2003 R2 是 在 Windows Server 2003 SP1 的 基础 上 ， 添 加 “活动 目录 应 用 模式 
(ADAM) ”、SharePoint2、 活 动 目录 联合 服务 (ADFS， 也 称 为 TrustBridge) ， 修 正 了 “分 布 式 
文件 系统 复制 功能 ”等 组 件 而 来 的 。Windows Server 2003 R2 包括 两 张 安装 盘 ， 其 第 1 张 安装 与 
Windows Server 2003 With SP1 完全 一 样 ， 第 2 张 安装 盘 包 括 Windows Server 2003 R2 的 产品 组 件 。 
Windows Server 2003 与 Windows Server 2003 R2 的 序列 号 生成 算法 不 同 ， 在 使 用 Windows Server 
2003 安装 程序 时 根据 不 同 的 序列 号 选择 不 同 的 版 本 。Windows Server 2003 SP1 (SP2) 很 容易 升级 
到 Windows Server 2003 R2， 只 要 从 Windows Server 2003 R2 的 第 二 张 安装 盘 运 行 安装 程序 ， 输 入 
Windows Server 2003 R2 的 序列 号 ， 就 可 以 升级 到 Windows Server 2003 R2。 

Windows Server 2003 与 Windows XP 具有 相同 的 内 核 。 

Windows Server 2008 与 Windows Server 2008 R2 包括 Web 版 、 标 准 版 、 企 业 版 和 数据 中 心 版 ， 
其 中 Windows Server 2008 的 每 个 版 本 都 有 对 应 的 32 位 与 64 位 版 本 ， 而 Windows Server 2008 R2 
只 有 64 位 版 本 。Windows Server 2008 与 Windows Vista 具有 相同 的 内 核 ， 而 Windows Server 2008 
R2 与 Windows 7 有 相同 的 内 核 。 

相 比 Windows Server 2003，Windows Server 2008 最 大 的 改进 有 两 点 : Server Core 与 Hyper-V。 
其 中 ，Server Core (服务器 内 核 ) 提供 一 个 最 小 化 的 Windows Server 2008 环境 ， 没 有 图 形 界面 ， 
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只 有 文本 界面 ， 可 以 降低 系统 维护 与 管理 要 求 、 减 少 使 用 硬盘 容量 、 降 低 被 攻击 风险 。 而 Hyper-V 
是 Microsoft 的 虚拟 机 技术 ， 相 比 Microsoft Virtual PC、Microsoft Virtual Server 2005， 它 具有 更 高 
的 性 能 和 吞吐 量 。 

Windows Home Server 是 家 用 服务 器 操作 系统 ， 它 支持 文件 共享 、 自 动 备份 、 远 程 访 问 、 卷 影 
副本 等 功能 。 

Windows Storage Server 是 基于 Windows Server 2003 或 Windows Server 2008、Windows Server 
2008 R2 的 专用 文件 和 打印 服务 器 。Windows Storage Server 是 具有 强大 存储 软件 运算 能 力 、 与 各 种 
不 同 存储 硬件 设备 连接 能 力 的 存储 服务 器 产品 , 它 能 够 满足 企业 对 磁盘 阵列 、 服 务 器 及 异 构 网 络 环 
境 等 不 同 存储 解决 方案 的 需求 。Windows Storage Server 只 能 通过 与 Microsoft 公司 合作 的 OEM 厂 
商 提供 软 硬 件 集成 的 网 络 存储 产品 ， 不 单独 销售 软件 光盘 。 

Windows Small Business Server 为 小 型 企业 提供 了 一 个 服务 器 产品 集成 包 , 最 多 支持 75 个 用 户 
或 设备 ， 包 括 电子 邮件 、 安 全 的 Intemet 连接 、 企 业 Intranet、 远 程 连接 、 移 动 设备 支持 、 文 件 和 
打印 机 共享 、 备 份 和 还 原 功能 ， 以 及 用 于 协作 的 应 用 程序 平台 。 它 是 以 Windows Server 2003 (或 
Windows Server 2008) 为 基础 ， 集 成 了 Microsoft Windows SharePoint Services、Exchange Server、 
Office Outlook、SQL Server 等 Server 类 产品 的 安装 包 。 

Windows Essential Business Server 是 为 中 型 企业 设计 的 服务 器 解决 方案 , 最 多 支持 300 个 用 户 
或 设备 。Windows Essential Business Server 基于 Windows Server 2008， 它 有 标准 版 和 高 级 版 两 个 版 
本 。 标 准 版 包括 三 个 安装 了 Microsoft Exchange Server 2007、Microsoft System Center Essentials、 
Microsoft Forefront Security for Exchange Server 和 Forefront Threat Management Gateway 的 标准 版 
Windows Server 2008。 高 级 版 在 标准 版 的 基础 上 增加 了 一 个 标准 版 Windows Server 2008 和 一 个 标 
准 版 Microsoft SQL Server 2008 。 

所 以 ，Windows Small Business Server 与 Windows Essential Business Server， 都 是 Windows 
Server 2003( 或 Windows Server 2008、Windows Server 2008 R2 ), 集成 了 Exchange Server、SQL Server 
等 产品 的 工具 包 。 


1.1.2 ”服务 器 


Microsoft 的 Server 类 产品 众多 ， 包 括 应 用 程序 虚拟 化 平台 Application Virtualization、BizTalk 
Server、Commerce Server、 微 软 企业 桌面 优化 套件 Desktop Optimization Pack、 邮 件 服务 器 产品 
Exchange Server、 即 时 消息 与 视频 会 议 产品 Office Communications Server 2007、Lync Server 2010、 
防火 墙 与 代理 服务 器 产品 Microsoft ISA Server、 Forefront Threat Management Gateway (TMG) 2010、 
企业 门户 网 站 SharePoint Server、 数据 库 服务 器 SQL Server、 系统 管理 工具 System Center Operations 
Manager、 虚 拟 机 管理 产品 System Center Virtual Machine Manager、Windows MultiPoint Server 2011 

(类 似 BetWin 的 软件 ， 可 以 让 一 台 PC 带 多 个 键盘 、 鼠 标 、 显 示 器 充当 多 个 主机 来 用 ) 等 产品 。 


1.1.3 ”应 用 程序 


Microsoft 应 用 程序 的 产品 包括 : Microsoft Office 系列 (Word、Excel、PowerPoint、Access) 、 
OneNote、 项 目 管理 软件 Project、Publisher、 画 图 软件 Visio、 虚 拟 机 软件 Microsoft Virtual PC 与 
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Virtual Server 2005、 网 站 编辑 软件 SharePoint Designer 与 FrontPage、InfoPath、 主 机 虚拟 化 产品 
Hyper-V Server 2008 与 Hyper-V Server 2008 R2、Internet Explorer、MapPoint 等 。 


1.1.4 其 他 分 类 


Microsoft 的 “开发 人 员工 具 ” 包 括 Visual Basic、Visual C++、Visual FoxPro、Visual Studio、 
Windows Embedded 等 。 
Microsoft 的 “设计 人 员工 具 ” 包 括 AutoCollage 2008、Songsmith、Expression Studio 等 产品 。 
Microsoft 的 Business Solutions 主要 包括 Dynamics CRM、Dynamics Point of Sale 2009、Small 
Business Manager Financials、Solomon 。 


1.2 Windows Server 2008 R2 的 组 件 


Windows Server 2008 R2 是 一 个 基础 服务 平台 ， 它 包括 一 系列 只 能 在 这 个 “基础 服务 ”平台 运 
行 的 功能 包 (也 称 为 组 件 ) ， 用 户 可 以 根据 自己 的 情况 、 选 择 适合 自己 的 组 件 ， 以 获得 所 需要 的 服 
务 。Windows Server 2008 R2 提供 了 如 下 的 组 件 : 

(1) Internet 信息 服务 (IIS) : 主要 包括 Web 与 FTP 服务 器 。 其 中 ，Windows Server 2008 
提供 了 IIS 7.0，Windows Server 2008 R2 提供 了 IIS 7.5。 

(2) 文件 服务 器 。 许 多 人 最 早 接触 “客户 /服务 器 ”系统 ， 就 是 通过 类 似 “ 共 享 文件 夹 ”提供 
的 文件 和 打印 机 共享 开始 的 ， 所 以 , 许多 人 眼中 的 服务 器 ,就 是 提供 “文件 夹 ” 共 享 的 服务 器 。 在 
Windows Server 2008 R2 中 ， 文 件 服务 器 在 网 络 上 提供 一 个 中 心 位 置 ， 用 户 可 以 在 其 中 存储 文件 以 
及 与 网 络 中 的 用 户 共享 文件 。 当 用 户 要 求 某 个 重要 文件 〈 如 项目 计划 ) 可 由 多 个 用 户 访问 时 ， 他 们 
可 以 远程 访问 文件 服务 器 上 的 文件 ， 而 不 必 在 各 自 的 计算 机 之 间 传 送 该 文件 。 

Windows Server 2008 R2 的 文件 服务 器 包括 下 列 角色 : 


共享 和 存储 管理 。 

分 布 式 文件 系统 (DFS ) 。 

文件 服务 器 资源 管理 器 (FSRM ) 。 
网 络 文件 系统 (NFS ) 服务 。 
Windows 搜索 服务 。 

Windows Server 2003 文件 服务 。 


(3) DHCP 服务 器 。DHCP 是 一 种 客户 端 /服务 器 技术 ， 它 允许 DHCP 服务 器 将 IP 地 址 分 
配给 作为 DHCP 客户 端 启用 的 计算 机 和 其 他 设备 ， 也 允许 服务 器 租用 IP 地 址 。 使 用 DHCP， 可 
以 实现 以 下 功能 : 
e@ 在 特定 的 时 间 内 将 JP 地 址 租用 给 DHCP 客户 端 ， 然 后 当 客户 端 请 求 续 订 时 自动 续 订 人 P 
地 址 。 
e@ 通过 更 改 DHCP 服务 器 处 的 服务 器 或 作用 域 选项 ,而 不 是 在 所 有 DHCP 客户 端 上 分 别 执 
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行 此 操作 ， 来 更 新 DHCP 客户 端 参数 。 

@ 为 特定 的 计算 机 或 其 他 设备 保留 卫 地 址 ， 以 便 它 们 总 是 具有 相同 的 IP 地址， 同时 还 接 
收 最 新 的 DHCP 选项 。 

e@ 从 DHCP 服务 器 分 发 中 排除 人 P 地 址 或 地 址 范围 ， 以 便 能 够 使 用 这 些 IP 地 址 和 范围 对 
服务 器 、 路 由 器 和 其 他 需要 静态 JP 地 址 的 设备 进行 静态 配置 。 

@ 为 众多 子 网 提供 DHCP 服务 (如 果 DHCP 服务 器 和 需要 提供 服务 的 子 网 之 间 的 所 有 路 由 
器 都 被 配置 成 转发 DHCP 消息 ) 。 

e@ 配置 DHCP 服务 器 以 便 为 DHCP 客户 端 执行 DNS 名 称 注册 服务 。 

@ 为 基于 IP 的 DHCP 客户 端 提供 多 播 地 址 分 配 。 


(4) DNS 服务 器 。 通 过 使 用 域名 系统 (DNS ) 服务 器 角色 ， 可 以 为 网 络 上 的 用 户 提供 主要 名 
称 解 析 过 程 。 名 称 解析 过 程 使 用 户 能 够 利用 计算 机 名 称 而 不 是 瑟 地 址 来 查找 网 络 上 的 计算 机 。 运 
行 DNS 服务 器 角色 的 计算 机 可 以 承载 分 布 式 DNS 数据 库 的 记录 , 并 且 可 以 使 用 这 些 记录 来 解析 
由 DNS 客户 端 计算 机 发 送 的 DNS 名 称 查 询 。 这 些 查询 可 以 包括 网 络 或 Internet 上 诸如 Web 站 
点 或 计算 机 名 称 的 请 求 。 

(5) WINS 服务 器 。DNS 服务 器 是 将 DNS 名 称 解 析 为 瑟 地 址 的 服务 ， 而 WINS 服务 器 是 将 
NetBIOS 名 称 解 析 为 卫 地 址 的 服务 。 在 具有 VLAN 的 网 络 中 ， 需 要 使 用 NetBIOS 名 称 时 ， 就 需要 
使 用 WINS 服务 器 。 

(6) Windows 部 署 服务 。Windows Server 2008 R2 中 的 “Windows 部 署 服务 ”角色 是 在 
Windows Server 2003 的 “远程 安装 服务 (RIS)” 基 础 上 经 过 重新 设计 的 更 新 版 本 。 可 以 使 用 Windows 
部 署 服 务 通过 网 络 来 部 署 Windows 操作 系统 (特别 是 Windows Vista、Windows 7 和 Windows 
Server 2008 以 及 Windows Server 2008 R2) 。 可 以 使 用 Windows 部 署 服务 角色 ， 通 过 基于 网 络 的 
安装 来 安装 新 计算 机 。 这 意味 着 用 户 不 必 亲 自 操 作 每 台 计算 机 ， 也 不 必 直 接 通 过 CD 或 DVD 安 
装 每 个 操作 系统 。 

(7) 打印 服务 。 使 用 打印 服务 ， 可 以 在 网 络 上 共享 打印 机 ， 也 可 以 使 用 “打印 管理 ”单元 集 
中 执行 打印 服务 器 和 网 络 打印 机 管理 的 任务 。 这 有 助 于 监视 打印 队列 , 并 在 打印 队列 停止 处 理 打印 
作业 时 接收 通知 。 此 外 ， 该 服务 还 可 以 使 用 “组 策略 ”来 迁移 打印 服务 器 并 部 署 打印 机 连接 。 

(8) 网 络 策略 和 访问 服务 。“ 网络 策略 和 访问 服务 ”是 在 Windows Server 2003 的 “路 由 和 远 
程 访问 服务 器 ”的 基础 上 , 经 过 重新 设计 的 更 新 版 本 。 网 络 策略 和 访问 服务 提供 以 下 网 络 连接 解决 
方案 : 


@ 网 络 访问 保护 (NAP) 。NAP 是 一 种 创建 、 强 制 和 修正 客户 端 健康 策略 的 技术 ， 和 包含 在 
Windows Vista、 Windows 7 客户 端 操作 系统 和 Windows Server 2008、Windows Server 2008 
R2 操作 系统 中 。 通过 NAP， 系 统管 理 员 可 以 设置 并 自动 强制 运行 状况 策略 ,策略 中 可 以 
包含 软件 要 求 、 安 全 更 新 要 求 、 计 算 机 配置 要 求 以 及 其 他 设置 。 可 以 为 不 符合 健康 策略 的 
客户 端 计算 机 提供 受 限 网 络 访问 ， 直 到 更 新 其 配置 并 且 使 其 符合 策略 时 为 止 。 根 据 选择 部 
署 NAP 的 方式 ， 可 以 自动 更 新 不 兼容 的 客户 端 ， 使 用 户 可 以 快速 重新 获得 完全 的 网 络 访 
问 ， 而 不 必 手 动 更 新 或 重新 配置 其 计算 机 。 

e@ 安全 无 线 与 有 线 访问 。 在 部 署 802.1X 无 线 访问 点 时 ， 安 全 无 线 访问 会 向 无 线 用 户 提供 一 
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种 易于 部 署 的 、 基 于 密码 的 安全 身份 验证 方法 。 当 部 署 802.1X 身份 验证 切换 时 ， 有 线 访 
问 可 以 确保 Intranet 用 户 通过 身份 验证 后 才 可 以 连接 到 网 络 或 使 用 DHCP 获取 卫 地 
址 ， 从 而 保护 网 络 安全 。 

e@ 远程 访问 解决 方案 。 使 用 远程 访问 解决 方案 ， 可 以 向 用 户 提供 对 你 组 织 的 网 络 的 虚拟 专用 
网 (VPN ) 和 拨号 访问 权限 。 还 可 以 通过 VPN 解决 方案 将 分 支 机 构 连接 到 你 的 网 络 ， 在 
你 的 网 络 上 部 署 功能 齐全 的 软件 路 由 器 ， 并 在 整个 Intranet 中 共享 Internet 连接 。 

e@ 使 用 RADIUS 服务 器 和 代理 进行 的 集中 网 络 策略 管理 。 无 须 在 无 线 访问 点 、802.1X 身份 
验证 切换 、VPN 服务 器 和 拨号 服务 器 等 每 台 网 络 访问 器 上 配置 网 络 访问 策略 ， 只 需 在 一 
个 位 置 创建 策略 ， 即 可 指定 网 络 连接 请 求 的 所 有 方面 内 容 ， 包 括 允 许 谁 进行 连接 ， 他 们 何 
时 可 以 连接 ， 以 及 连接 到 网 络 时 必须 要 使 用 的 安全 等 级 。 


(9) HyperV。 通 过 Hyper-V， 可 以 使 用 Windows Server 2008 R2 中 的 虚拟 技术 创建 一 个 虚 
拟 化 的 服务 器 计算 环境 。 利 用 虚拟 化 计算 环境 , 以 及 多 个 硬件 资源 来 提高 计算 资源 的 效率 。Hyper-V 
提供 Windows Server 2008 了 R2 中 的 软件 基础 结构 和 基本 的 管理 工具 , 可 用 于 创建 和 管理 虚拟 化 服 
务 器 计算 环境 。 此 虚拟 化 环境 可 用 来 实现 提高 效率 和 降低 成 本 的 各 种 商业 目标 ， 具 体 如 下 : 


@ 通过 提高 硬件 的 利用 率 ， 降 低 运 行 和 维护 物理 服务 器 的 成 本 ， 以 减少 运行 服务 器 负载 所 需 
的 硬件 数量 。 

@ 通过 减少 设置 硬件 、 软 件 以 及 在 线 测 试 环境 所 需 的 时 间 以 提高 开发 和 测试 效率 。 

@ 提高 服务 器 可 用 性 ， 通 过 使 用 负载 平衡 系统 故障 转移 集群 提供 持续 不 断 的 服务 并 保证 服务 
可 访问 。 

(10)Active Directory 域 服务 。 利 用 Windows Server 2008 R2 操作 系统 中 的 Active Directory 域 
服务 AD DS) 服务 器 角色 ， 可 以 创建 用 于 用 户 和 资源 管理 的 可 伸缩 、 可 管理 及 安全 的 基础 结构 ， 
并 且 可 以 提供 对 启用 目录 应 用 程序 (如 Microsoft Exchange Server、Microsoft SharePoint Server、 
LYNC 2010) 的 支持 。Active Directory 域 服务 的 核心 是 AD DS 服务 器 角色 。AD DS 提供 分 布 式 数 
据 库 , 该 数据 库存 储 和 管理 有 关 网 络 资源 和 来 自 支持 目录 的 应 用 程序 的 特定 数据 。 管理 员 可 以 使 用 
AD DS 将 网 络 元 素 (如 用 户 、 计算机 和 其 他 设备 ) 整理 到 层次 内 嵌 结 构 。 层 次 内 嵌 结 构 包 括 Active 
Directory 林 、 林 中 的 域 以 及 每 个 域 中 的 组 织 单位 (OU) 。 运 行 AD DS 的 服务 器 称 为 域 控制 器 。 

简单 来 说 ，Active Directory 在 网 络 中 提供 了 一 个 统一 的 身份 验证 、 身 份 认 证 平台 ， 所 有 基于 
Microsoft Active Directory 的 产品 ， 如 Exchange Server、SharePoint Server 等 ， 都 采用 这 个 平台 进行 
于 统一 的 身份 验证 。 

(11) Active Directory 证 书 服务 。Windows Server 2008 中 的 “Active Directory 证 书 服务 ”， 
是 在 原来 Windows Server 2003 的 “证 书 服务 ”的 基础 上 的 升级 、 改 进 版 本 。Active Directory 证 书 
服务 仍然 包括 “企业 证 书 服务 器 ”与 “独立 证 书 服务 器 ”。 

(12) Active Directory Rights Management Services。 Active Directory Rights Management 
Services (简称 RMS) 以 前 是 一 个 单独 的 产品 ， 从 Windows Server 2008 开始 集成 在 操作 系统 中 。 
简单 来 说 ，RMS 是 Microsoft 的 “权限 管理 服务 器 ”， 用 来 在 企业 网 络 中 保护 Office 文档 ， 它 可 以 
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让 指定 的 用 户 (Active Directory 用 户 ) 在 指定 的 时 间 内 以 指定 的 权限 〈 读 、 写 、 是 否 打印 、 是 否 具 
有 “复制 ”权限 ) 访问 受 保护 的 文档 。 如 果 用 户 转发 受 保护 的 文档 (例如 通过 电子 邮件 ) 给 不 具有 
访问 权限 的 用 户 ， 受 限 用 户 也 不 能 打开 。 

(13) 终端 服务 器 。 通 过 Windows Server 2008 R2 中 的 “终端 服务 ”服务 器 角色 提供 的 技术 ， 
用 户 可 以 访问 终端 服务 器 上 安装 的 基于 Windows 的 程序 或 访问 完整 的 Windows 桌面 。 使 用 终端 
服务 ， 用 户 可 以 在 企业 网 络 内 部 或 通过 Internet 访问 终端 服务 器 。 

终端 服务 可 使 你 在 企业 环境 中 有 效 地 部 署 和 维护 软件 ， 可 以 很 容易 从 中 心 位 置 部 署 程序 。 由 
于 将 程序 安装 在 终端 服务 器 上 ， 而 不 是 客户 端 计算 机 上 ， 所 以 ， 更 容易 升级 和 维护 程序 。 
户 访问 终端 服务 器 上 的 某 个 程序 时 ， 该 程序 的 执行 在 服务 器 上 进行 ， 只 有 键盘 、 鼠 标 和 显 
示 器 的 信息 才能 通过 网 络 传输 。 每 个 用 户 只 能 看 到 自己 的 会 话 。 服 务 器 操作 系统 透明 地 管理 会 话 ， 
与 任何 其 他 客户 端 会 话 无 关 。 


1.3 为 什么 要 选择 Windows Server 2008 


看 了 上 面 的 介绍 后 ， 大 家 可 能 会 说 ，Windows Server 2008 也 没有 什么 新 功能 呀 。 即 使 有 的 新 
功能 , 在 Windows Server 2003 中 也 有 对 应 的 产品 或 组 件 , 那么 , 为 什么 要 选择 Windows Server 2008 
呢 ? 选 择 Windows Server 2008 的 理由 如 下 : 

(1) 服务 器 整合 与 资源 优化 一 一 Hyper-V 

大 多 数 服务 器 在 工作 时 都 远 未 发 挥 出 自身 应 有 的 能 力 。 平 均 而 言 ， 未 得 到 利用 的 处 理 能 力 高 
达 80% 一 90%。 凭 借 Windows Server 2008 虚拟 化 解决 方案 Hyper-V， 单 个 物理 服务 器 就 能 支 
持 多 个 业务 系统 (Line of Business) 上 的 工作 负载 。Hyper-V 能 帮助 企业 优化 使 用 硬件 资源 ， 并 提 
供 足 够 的 灵活 性 来 充分 满足 不 断 变化 的 IT 需求 。 新 型 管理 工具 可 简化 部 署 过 程 , 并 使 IT 部 门 能 
够 像 管理 网 络 中 物理 服务 器 一 样 通过 熟悉 的 工具 来 管理 虚拟 服务 器 。 

(2) 最 简化 的 模块 化 安装 一 一 服务 器 核心 (Server Core) 

众多 网 络 服务 器 都 可 能 在 网 络 中 执行 特定 的 应 用 或 者 担任 某 些 关键 的 角色 。 全 新 的 服务 器 核 
心安 装 选项 可 为 运行 这 些 特定 应 用 的 服务 器 或 服务 器 角色 提供 最 简化 的 环境 , 从 而 有 助 于 提高 可 靠 
性 与 效率 , 使 IT 部 门 能 更 好 地 利用 现 有 硬件 。 此外， 也 可 以 通过 减少 对 不 必要 的 文件 和 功能 的 更 
新 或 打 补 丁 来 简化 持续 的 管理 与 补丁 管理 要 求 。 对 于 执行 特定 网 络 基 础 架构 角色 的 网 络 服务 器 而 
言 ， 新 型 Server Core 安装 选项 提供 了 一 种 高 度 可 靠 的 高 效率 平台 。 由 于 Server Core 能 够 加 载运 
行 核心 基础 架构 角色 服务 器 所 需 的 最 少 的 操作 系统 组 件 , 因而 可 以 有 效 减 少 补丁 需求 , 进而 也 提高 
了 核心 网 络 基础 架构 服务 器 的 可 靠 性 与 安全 性 。 

(3) 只 读 域 控制 器 (Read-only Domain Controller，RODC) 

RDOC 是 新 型 的 域 控制 器 ， 其 数据 库 只 能 读 取 ， 不 能 修改 ， 而 且 只 能 从 其 他 可 写 的 域外 控制 
器 上 复制 过 来 。 在 Windows Server 2008 发 布 之 前 ， 如 果 用 户 必须 通过 广域网 (WAN) 对 域 控制 
器 进行 身份 验证 ， 则 没有 合适 的 替代 方案 。 在 很 多 情况 下 ， 分 公司 通常 不 能 为 可 写 域 控制 器 提供 所 
需 的 充分 的 物理 安全 性 。 此 外 ， 当 分 支 机 构 连接 到 总 公司 时 ， 其 网 络 带宽 状况 通常 较 差 ， 这 可 能 增 
加 登录 所 需 的 时 间 ， 还 可 能 妨碍 对 网 络 资源 的 访问 。 
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RODC 主要 设计 用 于 部 署 在 远程 或 分 支 机 构 环境 中 。 分 支 机 构 通常 具有 以 下 特性 : 


@ ”相对 较 少 的 用 户 。 

@ 物理 安全 性 差 。 

@ 到 中 心 站 点 的 网 络 带宽 相对 较 差 。 
e@ 对 信息 技术 (IT ) 的 了 解 很 少 。 


具备 内 置 Web 与 虚拟 化 技术 的 Microsoft Windows Server 2008 使 企业 能 够 大 幅 提升 其 服务 
器 基础 架构 的 可 靠 性 与 灵活 性 。 全 新 的 虚拟 化 工具 、 增 强 的 Web 资源 管理 及 安全 性 功能 不 仅 有 助 
于 节约 时 间 、 降 低 成 本 ， 同 时 还 可 为 动态 优化 的 数据 中 心 提 供 平台 。 因 特 网 信息 服务 (IS) 7.0 与 
服务 器 管理 器 (Server Manager) 等 功能 强大 的 新 型 工具 可 提供 更 完备 的 服务 器 控制 , 并 对 Web 配 
置 以 及 管理 任务 等 进行 优化 。 诸 如 网 络 接 入 保护 (Network Access Protection) 与 只 读 域 控制 器 
(RODC) 等 高 级 安全 性 和 可 靠 性 增强 功能 既 能 够 提高 操作 系统 的 性 能 ， 而 且 还 可 确保 服务 器 环境 
的 安全 ， 从 而 为 商务 运营 打造 一 个 坚实 的 基础 。 

(4) 远程 用 户 可 灵活 地 存 取 应 用 一 一 TS RemoteApp 

Windows Server 2008 为 终端 服务 (Terminal Services) 带 来 了 全 面 的 性 能 改进 与 创新 功能 ， 其 
有 具备 的 Terminal Services RemoteApp 等 解决 方案 使 用 户 能 够 访问 单个 独立 的 应 用 ， 而 不 是 只 在 终 
端 服务 器 (Terminal Server) 会 话 中 访问 计算 机 桌面 。 这 些 应 用 运行 于 主 计算 机 之 上 ， 仅 负责 向 用 
户 发 送 应 用 窗口 ， 从 而 能 够 显著 减少 客户 端 所 需要 的 资源 ， 进 而 降低 管理 与 部 署 成 本 。 

(5) 交付 丰富 的 Web 内 容 与 应 用 IS 7.0 

随 着 Web 内 容 日 益 丰富 而 且 其 正成 为 提供 商业 应 用 的 高 效 平台 ，Web 服务 器 也 在 向 众多 网 
络 的 核心 发 展 .IIS 7.0 可 为 当今 要 求 极 高 的 内 容 提供 解决 方案 , 其 中 包括 ASP(Active Server Pages) 
与 PHP 中 的 流 媒 体 和 “Web 应 用 等 。 借 助 可 简化 管理 工作 的 最 新 界面 ， 采 用 全 新 模块 化 设计 的 
IIS 7.0 使 管理 员 能 够 仅 安装 所 需 的 组 件 ， 从 而 最 大 限度 地 缩小 Web 服务 器 的 受 攻击 面 。 

(6) 更 高 的 网 络 性 能 与 更 完善 的 控制 一 一 新 的 TCP/IP 协议 栈 

高 效 使 用 带宽 会 直接 提高 通过 WAN 连接 至 企业 中 央 服 务 器 上 远程 用 户 的 工作 效率 。 
Windows Server 2008 采用 经 过 精心 设计 的 “新 一 代 ”TCP/IP， 可 大 幅 提 升 远程 办 公 的 性 能 ， 从 而 
加 快 吞 吐 速率 并 能 更 高 效 地 利用 网 络 流量 。 通 过 在 分 支 办 公 环 境 中 结合 采用 Windows Server 2008 
与 Windows Vista， 将 有 望 把 WAN 连接 的 吞吐 量 提高 两 倍 。 

(7) 避免 不 健康 的 设备 连接 至 网 络 一 一 NAP 

随 着 越 来 越 多 的 移动 用 户 和 企业 合作 伙伴 需要 连接 至 企业 组 织 机 构 的 网 络 ， 这 使 得 避免 网 络 
遭受 外 部 威胁 的 工作 始终 面临 着 严峻 的 挑战 。Windows Server 2008 中 的 网 络 接 入 保护 (NAP) 可 
阻止 不 符合 规范 的 计算 机 接 入 企业 网 络 。NAP 能 够 验证 试图 接 入 网 络 的 计算 机 的 健康 状况 ， 并 确 
保 让 仅 符合 企业 安全 标准 的 设备 成 功 接 入 。 

(8) 针对 要 求 高 的 工作 负载 支持 业务 持续 性 一 一 高 可 用 性 

Windows Server 2008 可 为 大 多 数 要 求 最 严格 的 商业 解决 方案 提供 更 高 的 可 扩展 性 ， 并 能 通过 
高 可 用 性 特性 帮助 企业 应 对 意外 停机 事件 。Windows Server 2008 支持 故障 恢复 群集 、 网 络 负载 平 
衡 、 动 态 硬件 分 区 、 稳 健 的 存储 选项 以 及 高 级 机 器 自 检 架 构 等 , 可 在 单 点 故障 问题 情况 下 确保 安全 。 
简化 的 部 署 与 管理 工作 还 能 帮助 各 种 规模 的 组 织 机 构 充 分 发 挥 上 述 特性 的 优势 , 以 显著 提高 可 用 性 
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与 可 靠 性 。 

(9) 实 现 安全 协作 一 一 活动 目录 联合 权限 管理 (Active Directory Federated Rights Management) 

企业 需要 与 合作 伙伴 和 客户 实现 信息 共享 ， 同 时 又 不 能 失去 对 该 信息 的 控制 。 权 限 管理 服务 
(Rights Management Service) 使 企业 能 够 控制 内 外 部 使 用 文档 的 方式 ， 其 中 包括 哪些 人 可 以 查看 
文档 ， 是 否 能 够 打印 ， 能 否 转 发 或 删除 等 。 

(10) 异 构 环 境 的 互 连 

Windows Server 2008 包含 的 UNIX 应 用 程序 子 系统 (SUA) 是 一 种 多 用 户 UNIX 环境 ， 能 
够 支持 超过 300 种 UNIX 命令 、 实 用 程序 及 外 壳 脚 本 等 。 用 户 可 维护 Windows 域 和 UNIX 系 
统 的 用 户 名 和 密码 ， 在 其 中 之 一 发 生变 化 时 实现 证 书 的 自动 同步 。SUA 运行 在 基于 Windows 的 
服务 器 上 ， 无 须 任何 仿真 就 能 确保 本 机 UNIX 性 能 ， 并 支持 和 充分 发 挥 Windows API 和 组 件 优 
势 的 UNIX 应 用 。 

(11) 支持 Top-Self Service 和 远程 站 点 

分 支 办 公 机 构 等 远程 站 点 可 能 会 对 IT 工作 提出 挑战 。 分 支部 门 通常 没有 自己 的 IT 员工 , 这 
使 得 软件 与 安全 更 新 的 部 署 成 本 高 昂 、 费 时 耗 力 ,而 且 也 很 难 在 远程 站 点 中 严格 实施 安全 与 P 标 
准 。Windows Server 2008 能 让 远程 管理 就 像 在 物理 总 部 办 公 一 样 ， 使 管理 人 员 能 够 通过 远程 管理 
技术 纠正 许多 问题 。 全 新 的 RODC 为 在 远程 基础 架构 中 进行 活动 目录 管理 提供 了 一 种 更 安全 的 途 
径 。 

(12) 简化 管理 与 自动 化 一 一 Server Manager 和 PowerShell 

服务 器 管理 控制 台 (Server Manager Console) 可 为 管理 服务 器 的 配置 与 系统 信息 提供 单个 统 
一 的 控制 台 , 不 仅 可 显示 服务 器 的 状态 ， 明 确 服 务 器 角色 配置 的 问题 ， 还 能 管理 服务 器 上 安装 的 所 
有 角色 。Server Manager 构建 于 服务 建 模 语言 (SML) 平台 之 上 ， 能 够 帮助 管理 人 员 用 更 少 的 点 击 
次 数 完成 各 项 任务 ， 而 无 须 在 多 种 工具 和 接口 间 烦 琐 地 切换 。 此 外 ，Server Manager 还 可 直接 与 命 
令 行 外 过 PowerShell 接口 相连 ,并 支持 脚本 语言 自动 化 .所 有 能 在 该 接口 中 使 用 的 Server Manager 
功能 也 都 能 应 用 于 PowerShell 脚本 。 该 接口 甚至 还 能 帮助 管理 员 编写 脚本 ， 向 管理 员 准确 显示 每 
个 按钮 与 控件 背后 到 底 是 什么 命令 ， 而 且 还 能 让 管理 员 记录 UI 中 的 任务 执行 ， 并 将 这 些 任务 执 
行 保存 为 脚本 。 


1.4 选择 Windows Server 2008 R2 的 理由 


Windows Server 2008 R2 是 微软 最 新 的 Windows 服务 器 操作 系统 软件 ， 它 是 Windows Server 
2008 的 升级 版 ， 具 有 所 有 Windows Server 2008 的 内 容 。Windows Server 2008 R2 的 设计 思想 是 增 
强 对 企业 内 资源 的 管理 控制 ， 提 高 工作 效率 以 及 减少 操作 的 花 销 。Windows Server 2008 R2 更 有 效 
的 能 源 利用 率 和 更 好 的 性 能 表现 来 源 于 降低 能 源 的 消耗 率 和 较 低 的 计算 机 总 开销 率 。Windows 
Server 2008 R2 提供 了 更 强 的 分 支 机 构 性 能 ， 令 人 兴奋 的 远程 访问 新 体验 ， 精 简 的 服务 器 管理 ， 并 
扩展 了 微软 为 服务 器 以 及 客户 端 计算 机 的 虚拟 化 策略 。 

(1) 强大 的 硬件 和 可 扩展 性 
Windows Server 2008 R2 设计 为 在 相同 的 硬件 资源 下 提供 和 Windows Server 2008 相同 或 者 
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更 强 的 性 能 。 另 外 ，Windows Server 2008 R2 也 是 第 一 款 仅 有 64 位 架构 的 Windows 服务 器 操 
作 系 统 。 

Windows Server 2008 R2 对 处 理 器 进行 了 一 些 改进 。 首 先 ，Windows Server 2008 R2 扩展 了 对 
处 理 器 的 支持 , 用户 可 以 使 用 多 达 256 个 逻辑 处 理 器 。 Windows Server 2008 R2 还 支持 Second Level 
Address Translation (SLAT) ， 以 从 最 新 的 ADM 处 理 器 中 的 Enhanced Page Tables 功能 和 最 新 的 
Intel 处 理 器 中 的 Similar Nested Page Tables 功能 中 获得 提升 。 这 些 方面 的 联 用 将 使 得 Windows 
Server 2008 R2 在 运行 时 获得 明显 的 内 存 管理 提升 。 

Windows Server 2008 R2 的 组 件 也 获得 了 硬件 支持 方面 的 改进 。 现 在 Windows Server 2008 R2 
中 的 Hyper-V 可 以 使 用 到 高 达 32wh 处 理 器 的 计算 机 上 ， 这 可 是 HyperV 第 一 版 支持 处 理 器 数量 
的 两 倍 。 这 个 方面 的 改进 不 但 提高 了 对 新 的 多 核 系统 的 利用 , 而 且 意 味 着 单 物理 主机 上 更 多 的 虚拟 
机 共存 比例 。 

(2) 减少 电源 的 消耗 

Windows Server 2008 引入 了 一 个 叫做 “平衡 ”的 电源 策略 ， 它 会 监控 服务 器 上 的 处 理 器 使 用 
率 来 动态 调整 处 理 器 的 性 能 状态 ， 以 减少 工作 负载 所 需 的 电源 消耗 。Windows Server 2008 R2 新 加 
入 的 Core Parking 功能 和 扩展 的 电源 自 适应 组 策略 设置 增强 了 节能 功能 。 

Windows Server 2008 活动 目录 域 服务 组 策略 已 经 给 管理 员 提 供 了 大 量 针 对 客户 端 计算 机 的 电 
源 管 理 控制 选项 。 在 更 多 的 部 署 场景 中 ， Windows Server 2008 R2 和 Windows 7 中 增强 的 节能 设 
置 可 以 提供 比 以 往 更 精确 的 控制 从 而 最 大 程度 地 减少 能 源 消耗 。 

(3) Windows Server 2008 R2 的 Hyper-V 

Windows Server 2008 R2 也 包含 了 对 Microsoft 的 虚拟 化 技术 一 一 Hyper-V 更 有 远虑 的 升级 。 
新 的 Hyper-V 针对 扩大 现 有 的 虚拟 机 管理 以 及 满足 IT 部 门 所 遇 到 的 挑战 ， 尤 其 是 服务 器 迁移 这 块 
的 设计 。 

Hyper-V 可 以 使 用 Windows Server 2008 R2 的 一 项 内 置 功能 一 一 动态 迁移 .在 Windows Server 
2008 的 Hyper-V V1 时 代 可 以 支持 快速 迁移 功能 ， 能够 将 虚拟 机 在 物理 主机 之 间 迁 移 ， 而 仅仅 只 有 
几 秒 钟 的 当 机 时 间 。 不 过 ,这 几 秒 钟 的 时 间 也 足够 在 特定 的 情境 下 引发 问题 , 尤其 是 那些 连接 到 虚 
拟 主机 服务 器 上 的 客户 端 。 而 到 了 动态 迁移 时 代 , 虚拟 机 能 够 在 几 毫 秒 的 时 间 内 完成 在 物理 主机 之 
间 迁 移 任务 。 也 就 是 说 ， 迁 移 操作 对 已 连接 用 户 来 说 是 完全 透明 的 了 。 

户 还 可 以 部 署 针对 Hyper-V 开发 的 System Center Virtual Machine Manager, 它 可 以 添加 额外 
的 管理 选项 以 及 管理 方式 , 包括 自 适应 的 虚拟 化 性 能 和 资源 优化 功能 ,以 及 针对 故障 还 原 群集 管理 
的 优化 支持 。 

新 的 Hyper-V 的 核心 性 能 增强 还 包括 前 文 提 到 的 支持 最 多 64 颗 罗 辑 处 理 器 , 通过 主机 对 SLAT 
的 支持 加 强 处 理 器 方面 的 性 能 。 最 后 ， 虚 拟 机 可 以 添加 和 移 除 VHD 磁盘 而 无 须 重启 ， 甚 至 可 以 直 
接 从 VHD 进行 引导 。 

(4) VDI 减 少 了 桌面 花费 

在 服务 器 领域 ， 虚 拟 化 无 疑 是 最 热门 的 焦点 。 但 是 ， 同 样 令 人 激动 的 改进 被 加 入 到 了 表现 层 
虚拟 化 中 。 表 现 层 虚拟 化 是 服务 器 端 负责 进程 的 处 理 ; 而 图 形 界 面 、 键 盘 、 鼠 标 和 其 他 的 用 户 IO 
操作 则 由 用 户 的 桌面 发 起 。 

Windows Server 2008 R2 包含 了 增强 的 虚拟 化 桌面 集成 (VDI) 技术 。VDI 技 术 扩展 了 终端 服 
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务 的 功能 ， 使 得 企业 能 够 实现 将 某 个 业务 软件 投递 到 雇员 远程 桌面 的 需求 。 在 VDI 技术 中 ， 远 程 
桌面 服务 将 程序 快捷 方式 发 送 到 可 用 计算 机 的 开始 菜单 中 ， 运 行 起 来 和 本 地 安装 的 软件 没有 区 别 。 
这 种 方式 可 以 提供 改进 的 桌面 虚拟 化 功能 以 及 更 好 的 应 用 虚拟 化 。 桌 面 虚拟 化 在 Windows 7 中 ， 
可 以 从 改进 的 个 性 化 管理 、 虚 拟 桌 面 和 应 用 的 无 缝 集成、 更 好 的 音频 视频 性 能 、 非 常 酷 的 Web 访 
问 改进 等 等 中 获得 益处 。 

虚拟 化 桌面 集成 (VDI) 技术 包含 了 更 有 效 的 使 用 虚拟 化 资源 ， 更 紧密 的 与 本 地 外 接 硬 件 集成 
以 及 团 新 强大 的 虚拟 管理 方面 的 功能 。 

(5) 更 简单 、 更 有 效 的 服务 器 管理 能 

有 这 样 一 种 说 法 : 无 论 何 时 增加 服务 器 操作 系统 的 容量 都 是 没 错 的 。 而 对 服务 器 管理 员 来 说 ， 
操作 系统 的 复杂 程度 越 来 越 高 , 日 常 的 工作 负担 也 越 来 越 大 。Windows Server 2008 R2 特别 针对 这 
个 问题 ， 实 现 了 自 适应 管理 控制 台 ， 让 其 来 接管 大 量 的 工作 。 这 些 工 具 的 功能 包括 : 


@ ”改进 的 数据 中 心 能 源 消耗 及 其 管理 。 
@ ”改进 的 远程 管理 功能 ， 包 括 支持 远程 安装 的 Server Manager。 
@ 改进 的 身份 管理 功能 ， 升 级 并 简化 了 活动 目录 域 服务 和 活动 目录 联盟 服务 。 


Windows Server 2008 R2 针对 流行 的 PowerShell 功能 提供 了 改进 。PowerShell 2.0 相 比 早期 版 
本 明显 增强 , 包括 超过 240 个 新 的 脚本 命令 以 及 一 个 新 的 图 形 界面 , 并 且 添 加 了 专业 级 别 的 脚本 创 
建功 能 。 新 的 图 形 界 面包 括 语法 颜色 ， 新 的 脚本 生成 排 错 功能 和 新 的 测试 工具 。 

(6) 管理 数据 而 不 仅仅 是 管理 磁盘 

管理 数据 已 经 不 再 是 管理 磁盘 了 。 在 2008 年 到 2012 年 间 ， 互 联网 数据 中 心 (IDC) 拥有 的 存 
储 卷 将 以 每 年 51% 的 速率 增长 。 为 了 保持 速度 和 竞争 力 ， 所 有 的 组 织 都 必须 开始 管理 数据 ， 而 不 
仅仅 是 磁盘 。Windows Server 2008 R2 为 IT 管理 员 提供 了 精确 的 管理 工具 一 一 新 的 文件 分 类 架构 

(CEFCI) 。 这 个 新 功能 在 现 有 的 共享 文件 架构 之 上 ， 创 建 了 一 套 可 以 扩展 且 自 动 化 的 分 类 方法 。 这 
个 新 功能 使 得 IT 管理 员 可 以 根据 整体 自 定义 分 类 方式 直接 针对 某 些 文件 进行 某 项 操作 。 合 作 伙 伴 
也 可 以 扩展 文件 分 类 架构 FCI) ， 也 就 是 说 在 不 远 的 将 来 ，Windows Server 2008 R2 的 用 户 可 以 
看 到 来 自 于 独立 软件 开发 商 围绕 文件 分 类 架构 (FCI) 开发 的 新 功能 。 

(7) 无 所 不 在 的 远程 访问 

今天 ， 要 求 IT 部 门 为 移动 员工 提供 对 企业 资源 远程 访问 要 求 的 呼声 日 益 高 涨 。 然 而 ， 低 速 的 
广域网 带宽 ,糟糕 的 连接 效果 ， 重复 连 接 对 元 长 的 桌面 管理 任务 的 干扰 ， 比 如 组 策略 的 修改 、 应 用 
最 新 补丁 等 ， 面 对 这 些 问 题 如 何 管理 远程 计算 机 依然 是 一 个 持续 的 挑战 。 

Windows Server 2008 R2 引入 了 一 项 新 的 连接 方式 一 一 Direct Access。Direct Access 是 一 种 强 
大 的 无 颖 访问 企业 资源 的 方式 ， 无 须 远程 用 户 使 用 传统 的 VPN 连接 拨号 或 者 客户 端 软件 安装 。 在 
Windows Server 2008 自 带 技术 的 基础 上 ， 微 软 增加 了 简单 的 管理 向 导 ， 帮 助 管理 员 配 置 连接 
Windows Server 2008 R2 和 Windows 7 客户 端的 SSTP 和 IPv6 来 实现 基本 的 DirectAccess 连接 。 并 
通过 Windows Server 2008 R2 上 额外 的 管理 和 安全 工具 来 扩展 这 种 连接 方式 ， 比 如 管理 策略 和 
NAP。 

使 用 DirectAccess 后 , 所 有 用 户 在 任何 时 候 都 被 认为 是 远程 连接 。 用 户 无 须 区 分 本 地 连接 和 远 
程 连接 , 所 有 的 相关 操作 将 由 DirectAccess 在 后 台 处 理 。 IT 管理 员 则 保留 了 对 这 种 连接 双向 的 精确 
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访问 控制 以 及 完全 的 外 围 安 全 ， 并 可 减轻 桌面 的 安全 和 管理 带 来 的 问题 。 
(8) 改进 的 分 支 机 构 性 能 和 管理 性 

许多 分 支 机 构 的 工 架构 都 或 多 或 少 会 受 低 带 宽 的 影响 。 低 速 的 广域网 连接 导致 分 支 机 构 雇员 
不 得 不 等 待 程序 从 主机 构 获取 信息 , 进而 影响 了 分 支 机 构 雇员 的 生产 力 。 而 且 所 有 分 支 机 构 的 带宽 
花 销 差不多 占 了 企业 开 部 门 总 开销 的 三 分 之 一 。 为 了 迎接 这 个 挑战 ，Windows Server 2008 R2 推 
出 了 新 功能 BranchCache。BranchCache 可 以 减少 广域网 的 使 用 并 增强 网 络 的 反应 速度 。 

使 用 BranchCache 后 , 如 果 主 机 构 的 某 个 文件 之 前 已 经 被 读 取 过 , 那么 下 一 个 客户 端 对 该 数据 
的 请 求 将 直接 发 送 到 本 地 (分 支 机构 ) 的 网络 中 。 大 型 分 支 机 构 的 本 地 BranchCache 服务 器 可 以 存 
储 这 些 缓存 下 来 的 文件 ， 当 然 也 可 以 直接 存放 在 本 地 Windows 7 的 计算 机 上 。 存 储 在 本 地 的 文件 
使 得 用 户 可 以 获得 高 速 快捷 的 访问 体验 。 

(9) 中 小 型 企业 的 简化 管理 性 

在 Windows Server 2008 R2 上 ， 微 软 对 中 小 型 企业 用 户 也 投入 了 越 来 越 多 的 重视 。 这 种 重视 
体现 在 为 这 些 用 户 提供 了 丰富 的 微软 产品 集 ， 从 Small Business Server 到 Windows Essential 
Business Server 以 及 现在 的 Windows Server 2008 Standard。 所 有 这 些 产品 都 包含 了 简化 中 小 型 企业 
IT 管理 员 的 新 管理 工具 。 

所 有 的 图 形 管理 界面 都 基于 PowerShell， 而 且 都 集中 在 一 个 单独 的 图 形 界 面 中 ,比如 活动 目录 
新 的 AD 管理 中 心 就 是 一 个 例子 。 另 外 ， 微 软 为 每 个 服务 器 角色 都 提供 了 最 佳 实践 分 析 器 ,来 帮助 
用 户 同 步 服务 器 配置 ， 并 了 解 发 生 了 什么 。 最 后 ， 就 是 Windows Server Backup 工具 。 这 项 内 置 的 
备份 功能 进行 了 非常 大 的 改进 , 包括 支持 颗粒 化 的 备份 工作 创建 ， 对 系统 状态 操作 的 支持 , 而 且 还 
进行 了 优化 以 实现 更 快 的 使 用 速度 以 及 占用 更 少 的 磁盘 空间 。 

(10) 当今 最 强大 的 Web 应 用 服务 器 

Windows Server 2008 R2 包含 了 大 量 的 升级 ， 不 但 使 得 它 成 为 当今 最 佳 的 Windows 服务 器 应 
用 平台 ， 同 时 更 重要 的 一 点 就 是 最 新 的 IS 7.5。 

IS 7.5 的 升级 包括 扩展 的 IS 管理 器 带 来 的 高 效 管理 性 ，IHS 的 PowerShell 生成 器 的 应 用 以 及 
从 Server Core 支持 NET 获得 的 益处 。 IIS 7.5 还 集成 了 新 的 支持 和 排 错 功能 , 包括 配置 日 志 记录 和 
专门 的 最 佳 实践 分 析 器 。 最 后 ，IHS 7.5 还 集成 了 一 些 在 Windows Server 2008 上 的 最 佳 可 选 扩展 ， 
比如 URLScan 3.0 (或 者 称 为 请 求 筛选 器 模块 ) 。 


1.5 选择 合适 的 产品 与 版 本 


通过 前 面 的 介绍 ， 我 们 了 解 了 Windows Server 2008 与 Windows Server 2008 R2， 并 且 了 解 到 
它们 有 众多 的 版 本 (Web 版 、 标 准 版 、 企 业 版 、 数 据 中 心 版 、32 位 与 64 位 版 本 ) ， 那 么 ， 我 们 应 
该 怎样 选择 这 些 版 本 呢 ? 


1.5.1 全 新 安装 系统 的 选择 


如 果 是 一 个 全 新 的 网 络 ， 或 者 说 ， 虽 然 一 个 网 络 已 经 被 管理 很 长 时 间 ， 但 没有 采用 专门 的 
Windows Server 2003 或 Windows 2000 Server， 则 选择 比较 简单 。 
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首先 ， 来 看 服务 器 的 配置 。 如 果 服 务 器 是 最 近 几 年 购买 的 并 且 是 64 位 的 CPU， 则 优先 选择 
64 位 版 本 的 Windows Server 2008 或 Windows Server 2008 R2。 如 果 服 务 器 购买 得 比较 早 ， 不 是 64 
位 的 CPU, 则 只 能 选择 32 位 的 Windows Server 2008。 如 果 准 备 将 新 采购 的 服务 器 用 于 新 建 网 络 管 
理 ， 则 优先 选择 Windows Server 2008 R2。 

其 次 , 根据 所 需要 的 功能 进行 选择 。 在 不 考虑 升级 的 前 提 下 , 可 根据 需要 的 功能 选择 对 应 的 版 
本 。Windows Server 2008 R2、Windows Server 2008 的 功能 如 表 1-1 所 示 。 


表 1-1 Windows Server 2008 R2 各 版 本 功能 对 比 


功能 | Web 版 | 标准 版 | 企业 版 | 网 | Server Core 
服务 器 角色 

Active Directory 证 书 服务 包含 部 分 包含 
管理 员 任务 一 Active Directory 域 服务 包含 包含 
只 读 域 控制 器 一 Active Directory 域 服务 (AD DS) 包含 包含 
可 重启 Active Directory 一 Active Directory 域 服务 包含 包含 
Active Directory 联合 服务 包含 不 包含 
Claims Aware 应 用 代理 包含 不 包含 
Active Directory 轻 量 目录 服务 (AD LDS) 包含 包含 
联合 权限 管理 一 Active Directory 权限 管理 服务 (AD | 不 包含 包含 不 包含 
RMS) 

应 用 服务 器 

DHCP 服务 器 包含 包含 包含 
DHCP 服务 器 一 群集 DHCP 服务 器 包含 包含 包含 
DNS 服务 器 包含 包含 包含 
传真 服务 器 包含 包含 包含 不 包含 
文件 服务 器 包含 包含 不 包含 
文件 服务 器 一 Windows 搜索 服务 包含 包含 包含 不 包含 
文件 服务 器 一 网络 文 件 系统 服务 包含 包含 。 | 不 包含 
网 络 访问 服务 一 网 络 策略 服务 器 包含 包含 。 | 不 包含 
网 络 访问 服务 一 远程 访问 服务 包含 包含 包含 不 包含 
网 络 访问 服务 一 安全 注册 部 门 包含 包含 不 包含 
网 络 访问 服务 一 连接 管理 器 管理 工具 包 包含 包含 不 包含 
网 络 访问 服务 一 系统 安全 检验 程序 模板 包含 包含 包含 不 包含 
打印 服务 器 包含 包含 包含 包含 
打印 服务 器 一 导入 与 导出 打印 设置 包含 包含 包含 包含 
打印 管理 控制 台 包含 包含 包含 包含 
终端 服务 部 分 包含 包含 包含 不 包含 
终端 服务 网 关 部 分 包含 包含 包含 不 包含 
终端 服务 Remote App 部 分 包含 包含 包含 不 包含 
终端 服务 Web 访问 部 分 包含 包含 包含 不 包含 


即 插 即 用 设备 重 定向 (终端 服务 器 ) 部 分 包含 包含 包含 不 包含 


统一 描述 、 发 现 与 集成 服务 UDDI) 包含 包含 包含 不 包含 


Web 服务 器 (Intermet 信息 服务 -IIS) 包含 包含 包含 包含 


委托 功能 管理 -HS (包含 TS6) 包含 包含 包含 包含 


Web 应 用 (Xcopy 部署 HS) 包含 包含 包含 包含 


失败 请 求 跟 踪 -IIS (包含 TS6) 包含 包含 包含 不 包含 
Windows 部 署 服务 (WDS) 不 包含 包含 包含 包含 包含 
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( 续 表 ) 
功能 Web 版 标准 版 企业 版 人 Server Core 
Windows 媒体 服务 (Media Server) 包含 包含 包含 包含 包含 
Hyper-V〔 Windows 服务 器 虚拟 化 ， 需 要 64 位 版 本 ) | 不 包含 包含 包含 包含 包含 
服务 器 功能 
Windows 激活 服务 包含 包含 包含 不 包含 
BITS 服务 器 扩展 包含 包含 包含 不 包含 
Windows Bitlocker 驱动 器 加 密 
高 可 用 性 功能 
故障 切换 群集 不 包含 不 包含 包含 包含 不 包含 
创建 群集 API 不 包含 不 包含 包含 包含 不 包含 
群集 迁移 工具 不 包含 不 包含 包含 包含 不 包含 
多 址 群集 不 包含 不 包含 包含 包含 不 包含 
混合 法 定 人 数 模板 不 包含 不 包含 包含 包含 不 包含 
恢复 功能 
Windows 服务 器 备份 包含 包含 包含 包含 包含 
裸 机 还 原 包含 包含 包含 包含 包含 
Tntemet 存储 命名 服务 包含 包含 包含 不 包含 
LPR 端口 监控 包含 包含 包含 包含 
MSMQ 服务 包含 包含 包含 包含 包含 
Windows 网 络 负载 均衡 包含 包含 包含 不 包含 
远程 协助 包含 包含 包含 不 包含 
基于 HTTP 代理 的 RPC 不 包含 包含 包含 包含 不 包含 
可 移动 存储 管理 器 包含 包含 包含 不 包含 
SMTP 服务 器 包含 包含 包含 不 包含 
SNMP 服务 包含 包含 包含 包含 
SAN 存储 管理 器 包含 包含 包含 不 包含 
简单 TCP/IP 服务 包含 包含 包含 包含 
UNIX 应 用 子 系统 包含 包含 包含 包含 
Telnet 客户 端 /服务 器 包含 包含 包含 包含 包含 
WINS 服务 器 不 包含 包含 包含 包含 包含 
Windows 系统 资源 管理 器 包含 包含 包含 包含 不 包含 
有 条 件 资源 分 配 策略 不 包含 包含 包含 包含 不 包含 
SQL Server 账 务 引擎 不 包含 包含 包含 包含 不 包含 
Microsoft .NET Framework 3.5 包含 包含 包含 包含 不 包含 
无 线 LAN 服务 包含 包含 包含 包含 不 包含 
SQL Server (不 包含 Embedded Edition) 包含 包含 包含 包含 不 包含 
事件 浏览 器 
事件 浏览 器 包含 包含 包含 包含 部 分 包含 
Windows 事件 收集 服务 包含 包含 包含 包含 不 包含 
任务 调度 程序 
任务 计划 程序 包含 包含 包含 不 包含 
文件 系统 与 存储 
脱 机 客户 端 缓存 不 包含 包含 包含 包含 不 包含 
存储 浏览 器 不 包含 包含 包含 包含 不 包含 
事务 文件 与 注册 表 操作 包含 包含 包含 包含 包含 
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( 续 表 ) 
功能 Web 版 标准 版 企业 版 Server Core 
按 需 文件 复制 包含 包含 包含 包含 包含 
iSCSI 启动 程序 包含 包含 包含 包含 需要 手动 运 

行 
分 布 式 文件 系统 DFS) 包含 包含 包含 包含 包含 
组 策略 
组 策略 包含 包含 包含 包含 包含 
组 策略 首选 项 包含 包含 包含 包含 包含 
硬件 与 设备 
硬件 与 设备 (动态 分 区 ) 不 包含 不 包含 包含 包含 不 包含 
初始 配置 
初始 配置 任务 [ 包 合 | 包 全 包含 包含 不 包含 
微软 管理 控制 台 《MMC) 
微软 管理 控制 台 | 包含 | 包 合 包含 包含 不 包含 
性 能 与 诊断 程序 
性 能 与 诊断 程序 包 包含 包含 部 分 包含 
Windows 内 存 诊断 工具 包 包含 
性 能 与 可 靠 性 监视 器 包 包含 包含 部 分 包含 
数据 收集 器 集合 (Perfmon) 包 部 分 包含 
平台 网 络 
平台 网 络 IPv6 包含 包含 包含 包含 
平台 网 络 接收 端 缩放 包含 包含 包含 包含 
企业 QoS (服务 质量 ) 包含 包含 包含 包含 
安全 套 接 字 API 包含 包含 包含 包含 
间隔 网 关 保护 包含 包含 包含 包含 
Windows 过 滤 平 台 包含 包含 包含 包含 
TCP 邱 载 包含 包含 包含 包含 
接收 窗口 自动 缩放 包含 包 全 包含 ”| 包含 
黑洞 路 由 器 检测 包含 包含 包含 包含 
网 络 诊断 框架 包含 包含 包含 包含 包含 
平台 安全 性 
平台 安全 性 包含 
高 级 安全 Windows 防火 墙 包含 
连接 安全 角色 向 导 包含 


Windows 服务 强化 
设备 安装 控制 台 


系统 文件 保护 包含 包含 包含 包含 
软件 保护 平台 

软件 保护 平台 包含 包含 包含 包含 包含 
密 钥 管理 服务 不 包含 包含 包含 包含 不 包含 
精简 功能 模式 包含 包含 包含 包含 包含 
服务 器 核心 (Server Core) 

服务 器 核心 不 包含 ”| 包含 包含 包含 包含 
服务 器 管理 器 

服务 器 管理 器 包含 包含 包含 包含 不 包含 
更 新 服务 包含 包含 包含 包含 包含 
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( 续 表 ) 
功能 Web 版 | 标准 版 企业 版 “| 9 中 | Sever Core 
添加 任务 向 导 包含 包含 包含 包含 不 包含 
添加 功能 向 导 包含 包含 包含 包含 不 包含 
Windows Management Instrumentation 
Windows 管理 规范 服务 | 包含 | 包含 包含 包含 包含 
Windows PowerShell 
Windows PowerShell 包含 包含 包含 包含 不 包含 
Remote 
Windows 远程 管理 规范 WinRM) 包含 包含 包含 包含 
Windows Remote Shell (WinRS) 包含 包含 包含 包含 包含 
授权 管理 器 
授权 管理 器 | 包含 [ 包 合 包含 包含 包含 
UNIX 身份 管理 
UNIX 身份 管理 | 包含 包含 包含 包含 包含 
事务 
分 布 式 事务 协调 器 包含 包含 包含 包含 
内 核 事务 管理 器 包含 包含 包含 包含 
远程 事务 协调 包含 包含 包含 包含 


1.5.2 ”网 络 升级 选择 


如 果 网 络 已 经 部 署 了 Windows Server 2003， 想 升级 到 Windows Server 2008 或 Windows Server 

2008 R2， 则 有 两 种 选择 。 

(1) 原 服务 器 原 位 升级 。 如 果 想 使 用 原来 的 服务 器 直接 升级 到 最 新 的 系统 ， 则 采用 这 种 方式 。 
但 需要 注意 ， 只 能 升级 相同 位 数 、 相 同 版 本 。 例 如 ， 如 果 原 来 安装 的 是 Windows Server 2003 (或 
Windows Server 2003 R2) 的 32 位 (x86) 的 标准 版 ， 就 只 能 将 系统 升级 到 Windows Server 2008 的 
32 位 的 标准 版 ， 而 不 能 升级 到 企业 版 或 数据 中 心 版 ， 也 不 能 升级 到 64 位 Windows Server 2008。 

(2) 异 构 升级 。 如 果 想 将 当前 的 32 位 的 Windows Server 2003 升级 到 64 位 的 Windows Server 
2008 或 Windows Server 2008 R2， 或 者 想 从 标准 版 升级 到 企业 版 或 数据 中 心 版 ， 则 采用 这 种 方式 。 
在 采用 这 种 方式 的 时 候 ， 也 分 以 下 几 种 情况 : 


日 原来 的 服务 器 支持 64 位 操作 系统 : 这 个 时 候 , 可 以 找 一 台 “ 中 间 ” 服 务 器 ( 称 为 服务 器 B )， 
在 “中 间 ” 服 务 器 上 安装 Windows Server 2008 或 Windows Server 2008 R2 ( 版 本 任意 ) ， 
升级 之 后 ， 加 入 到 域 (原来 的 Windows Server 2003 的 Active Directory ) ， 并 且 将 也 服务 
器 升级 到 “ 主 域 控制 器 ”， 然 后 将 原来 的 服务 器 ( 称 为 服务 器 A ) 降级 并 从 域 中 脱离 。 然 
后 在 A 服务 器 上 安装 所 需要 的 任何 版 本 ， 再 加 入 到 B 服务 器 的 Active Directory， 将 A 升 
级 到 主 域 ，B 服务 器 降级 并 从 域 中 脱离 。 这 样 可 以 完成 整个 升级 的 过 程 。 


当 原 来 的 服务 器 不 能 满足 升级 需求 时 ， 例 如 ，Windows Server 2008 的 升级 需要 系统 分 区 ( 一 般 为 C 
分 区 ) 至 少 10GB 以 上 空间 ， 但 原来 的 Windows Server 2003 的 系统 分 区 不 足 10GB 时 ， 也 可 以 采用 “中 


间 ” 服 务 器 的 方式 完成 升级 。 
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@ ”使 用 新 的 服务 器 ， 原 来 的 服务 器 做 额外 域 控 制 器 或 不 再 使 用 只 需要 在 新 的 服务 器 上 ， 安 
装 所 需要 的 Windows Server 2008 或 Windows Server 2008 R2， 并 加 入 到 原来 服务 器 的 
Active Directory 中 ， 将 原来 的 服务 器 降级 并 将 新 的 服务 器 升级 到 “ 主 域 控制 器 ” 即 可 。 


1.6 ”怎样 学 好 Windows Server 2008 R2 系统 管理 


在 Windows Server 2008 R2 的 学 习 中 , 涉及 理论 与 实践 两 个 方面 的 内 容 。 理论 是 学 习 网 络 的 基 
础 ， 是 指导 实践 的 ， 而 实践 是 对 理论 的 验证 。 只 学 理论 是 很 枯燥 的 并且， 如果 只 学 理论 而 不 加 验 
证 的 话 ， 学 到 的 理论 不 容易 理解 ， 也 不 能 真正 掌握 。 如 果 只 实践 而 不 学 理论 的 话 ， 则 实践 没有 了 正 
确 的 方向 ， 而 且 ， 如 果 在 实践 过 程 中 出 现 问 题 ， 则 不 知道 如 何 分 析 。 所 以 ， 要 学 好 Windows Server 
2008， 理 论 与 实践 两 方面 都 需要 学 习 。 


1.6.1 学 习 三 步 曲 
那么 ， 怎 样 学 好 Windows Server 2008 R2 系统 管理 呢 ? 推荐 采用 如 下 的 步骤 : 


四 和 完全 照搬 阶段 :在 刚 开 始 学 习 时 ， 准 备 好 实验 条 件 ， 完 全 按照 书 上 的 要 求 和 步 驰 ， 一 步 
一 步 地 做 实验 ， 达 到 书 中 实验 要 求 的 结果 。 

tQ3 替换 与 更 改 阶段 : 在 “完全 按照 ” 书 上 的 步骤 做 好 一 个 实验 后 ， 可 以 将 实验 环境 还 原 ， 
尝试 修改 实验 中 的 “可 变 ” 数 据 ， 如 瑟 地 址 、 子 网 掩 码 、 网 关 、DNS、 计 算 机 名 称 ， 将 书 中 的 数 
据 换 成 自己 设计 、 模 拟 的 数据 ， 然 后 使 实验 得 到 自己 想 要 的 结果 。 

W093) 排列 组 合 阶段 : 书 中 的 每 个 知识 点 (或 每 个 功能 的 介绍 ) ， 都 可 以 看 作 一 个 个 “单元 电 
路 ”或 一 个 个 “模块 ”， 在 掌握 了 每 个 模块 或 单元 电路 ， 并 且 能 “替换 ”其 中 的 可 变数 据 后 ， 试 着 
将 已 经 掌握 的 单元 电路 或 模块 按照 自己 的 设想 进行 “组 合 ”， 在 这 一 阶段 ， 要 画 网 络 拓扑 图 ， 标 记 
出 相应 的 数据 、 实 验 的 目的 及 结果 ， 然 后 自己 搭建 实验 环境 ， 进 行 实验 。 

t@ 纪 实用 阶段 : 在 工作 或 者 学 习 中 有 网 络 需求 时 ， 根 据 自己 所 掌握 的 单元 电路 ， 或 者 自己 已 
经 设计 过 的 相同 或 相似 电路 ， 做 出 实用 的 网 络 拓扑 ， 标 记 出 相应 的 数据 ， 在 实际 工作 中 应 用 。 


1.6.2 ”掌握 最 基本 的 内 容 


实验 是 最 好 的 老师 ， 在 理解 了 相关 基础 知识 之 后 ， 就 可 以 自己 做 实验 。 通 过 实验 掌握 所 学 内 
容 ， 并 在 以 后 的 工作 中 实践 应 用 。 


1.6.3 自己 设计 实验 


设计 路 由 器 、 交 换 机 的 实验 涉及 TCP/IP 等 知识 ， 比 较 复杂 ， 而 设计 网 络 应 用 类 的 实验 所 需 使 
用 的 网 络 拓扑 则 比较 简单 了 。 例 如 ， 图 1-1 所 示 的 网 络 拓扑 图 。 
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服务 器 
IP: 192.168.1.2 


交换 机 


工作 站 1 工作 站 2 
IP: 192. 168. 1. 20 IP: 192. 168. 1. 21 


图 1-1 网 络 拓扑 


在 图 1-1 中 , 有 1 台 服 务 器 、2 台 工 作 站 通过 1 台 交 换 机 连接 在 一 起 。 在 网 络 应 用 类 的 实验 中 ， 
主要 配置 “服务 器 ” 方 ， 而 工作 站 一 端 基 本 上 很 少 配置 ， 主 要 用 来 进行 验证 。 例 如 ， 在 图 1-1 中 ， 
服务 器 可 以 配置 成 DHCP， 工 作 站 则 通过 设置 为 “自动 获取 地 址 ”的 方式 验证 DHCP 服务 器 是 否 
工作 。 

同样 ， 利 用 图 1-1 的 网 络 拓扑 ， 还 可 以 在 服务 器 上 安装 Windows Server 2003、Windows Server 
2008, 并 配置 成 Active Directory 服务 器 ,而 工作 站 可 以 安装 Windows XP、Windows 7 等 操作 系统 ， 
也 加 入 到 Active Directory; 还 可 以 在 服务 器 上 安装 Exchange 等 邮件 服务 器 ， 用 工作 站 进行 验证 。 
总 之 ， 这 样 的 拓扑 ， 可 供 实验 的 内 容 相 当 多 。 

在 图 1-1 的 拓扑 中 ， 当 一 台 服 务 器 不 够 用 时 ， 可 以 通过 添加 服务 器 ， 组 成 更 加 复杂 的 网 络 。 如 
图 1-2 所 示 ， 就 是 一 个 比较 “复杂 ”的 网 络 拓扑 。 


Me Exchange 服 务 器 SQL Server 


汪 IP: 192. 168.1.4 
IP: 192.168.1. 2 de 


工作 站 1 IP: 192. 168. 1. 21 
IP: 192. 168.1. 20 


1-2 多 台 服 务 器 网 络 拓扑 


可 以 在 一 台 计 算 机 上 、Windows Server 2008 R2 中 的 Hyper-V 虚拟 机 、 VMware Workstation .Microsoft 
Virtual PC 或 其 他 虚拟 机 如 Sun VirtualBox 做 这 些 实验 。 
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1.6.4 ”在 实际 工作 中 将 实验 进行 代 换 


在 通过 实验 掌握 了 某 些 内 容 后 ， 在 工作 中 ， 如 果 碰 到 类 似 的 事情 ， 可 以 将 实验 过 程 “ 拿 ”过 
来 使 用 ， 但 使 用 的 时 候 ， 虽 然 可 以 “ 照 猫 画 虎 ”， 但 要 注意 避免 完全 照抄 。 至 少 实验 中 的 计算 机 名 
称 、IP 地 址 等 “可 变 ” 参 数 ， 要 用 实际 工作 中 的 计算 机 名 称 、IP 地 址 代替 。 另 外 ， 如 果 做 的 实验 
较 早 、 内 容 有 些 陈旧 ， 则 需要 重新 做 实验 。 

在 “ 代 换 ”的 时 候 ， 要 充分 考虑 实际 的 网 络 现状 与 需求 。 


1.6.5 “分 析 问 题解 决 问题 


网 络 中 ， 不 可 避免 会 出 现 问 题 。 无 论 是 服务 器 端 ， 还 是 客户 端 问题 ， 都 要 在 了 解 当前 网 络 现 
状 的 情况 下 ， 通 过 分 析 解 决 问题 。 如 果 碰 到 以 前 遇 到 过 的 问题 ， 可 以 赁 经 验 解决 ， 但 有 的 时 候 ， 经 
验 并 不 一 定 完全 可 靠 。 如 果 碰 到 的 问题 以 前 没有 遇 到 过 ， 则 更 要 通过 与 用 户 交流 、 仔 细 分 析 问 题 并 
找 出 故障 点 解决 。 如 果实 在 解决 不 了 ， 也 可 以 在 网 上 搜索 相关 解决 办 法 。 


1.7 在 Hyper-V 虚拟 机 中 全 新 安装 Windows Server 2008 R2 


本 节 以 Windows Server 2008 R2 企业 版 为 例 ， 全面 介 绍 Windows Server 2008 R2 的 安装 。 由 于 
Windows Server 2008 R2 是 Windows Server 2008 的 升级 版 ， 在 本 书 中 ， 如 无 特殊 说 明 ， 所 介绍 的 
内 容 与 操作 也 适用 于 Windows Server 2008， 在 介绍 到 Windows Server 2008 R2 的 “ 专 有 内 容 ” 时 ， 
会 特别 说 明 。 

本 书 不 过 多 介绍 理论 内 容 ， 以 实践 、 实 战 为 主 。 每 一 章 会 介绍 几 个 知识 点 ， 并 通过 案例 的 方 
式 展现 。 为 了 保持 实验 的 一 致 性 ， 我们 将 在 Windows Server 2008 R2 的 Hyper-V 虚拟 机 中 ， 安 装配 
置 这 些 内 容 。 


说 明 


国 | 
本 章 将 只 介绍 Windows Server 2008 R2 的 安装 ， 有 关 Windows Server 2008 R2 中 Hyper-V 的 配置 与 
使 用 ， 可 参见 本 书 第 11 章 的 内 容 。 


1.7.1 在 Hyper-V 虚拟 机 中 安装 Windows Server 2008 R2 


在 Hyper-V 中 创建 Windows Server 2008 R2 的 虚拟 机 ,并 在 虚拟 机 中 安装 Windows Server 2008 
R2， 主 要 步骤 如 下 : 


to 在 “HyperV 管理 控制 台 ” 中 ， 创建 名 为 ws08r2 的 虚拟 机 (如 图 1-3 所 示 ) ， 并 设置 虚 
拟 机 内 存 为 1GB ( 如 图 1-4 所 示 ) 、 使 用 Windows Server 2008 R2 光盘 镜像 作为 虚拟 机 的 光驱 ( 如 
图 1-5 所 示 ) 。 
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1-5 ”使 用 Windows Server 2008 R2 光盘 镜像 作为 虚拟 机 的 光驱 
tog 在 创建 虚拟 机 完成 之 后 ， 启 动 该 虚拟 机 。 
胃 3) 启动 虚拟 机 之 后 ， 进 入 安装 语言 、 时 间 和 货币 格式 选择 ， 在 此 选择 “中 文 (简体 ) ”， 
然后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-6 所 示 。 


t@ 绚 在 “现在 安装 ”对 话 框 中 ， 单 击 “ 现 在 安装 ”按钮 ， 如 图 1-7 所 示 。 


LI 
[my 


TIT ET -oo 
Ss BE BN MI HD 
> 


图 1-7 现在 安装 
tog 在 “选择 要 安装 的 操作 系统 ”对 话 框 中 ， 选 择 “Windows Server 2008 R2 Enterprise ( 完 
全 安装 ) ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-8 所 示 。 


t0@j 在 “请 阅读 许可 条 款 ” 对 话 框 中 ， 选 中 “我 接受 许可 条 款 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 如 图 1-9 所 示 。 
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图 1-8 选择 要 安装 的 操作 系统 图 1-9 接受 许可 条 款 
四 在 “您 想 进行 何 种 类 型 的 安装 ”对 话 框 中 ， 单 击 “ 自 定义 (高 级 ) ”图 标 ， 如 图 1-10 
所 示 。 
io8j 在 “您 想 将 Windows 安装 在 何 处 ”对 话 框 中 ， 选 择 当前 计算 机 (虚拟 机 ) 中 的 硬盘 ， 单 
击 “ 下 一 步 ”按钮 ， 如 图 1-11 所 示 。 


ET 


1-11 选择 安装 磁盘 


从 光盘 启动 , 只 能 选择 “ 自 定义 ”安装 , 如 果 当前 计算 机 的 硬盘 有 Windows Server 2003 等 操作 系统 ， 

想 进行 升级 安装 ， 可 进入 Windows Server 2003 操作 系统 ， 运 行 Windows Server 2008 R2 安装 程序 。 
( 1) 虽然 Windows Server 2008 R2 已 经 集成 了 当前 许多 主流 计算 机 及 服务 器 的 SCSI、RAID 卡 、SAS 
卡 的 驱动 程序 , 但 硬件 的 发 展 日 新 月 异 ,如 果 你 的 计算 机 或 服务 器 的 硬盘 接口 ( 主要 是 一 些 新 的 SAS RAID 
卡 ) 不 支持 Windows Server 2008 ( 或 Windows Server 2008 R2 ) ， 请 单 击 “ 加 载 驱动 程序 ”， 并 插入 硬件 
厂商 提供 的 驱动 程序 光盘 ， 加 载 并 安装 Windows Server 2008 的 驱动 程序 ， 然 后 再 安装 系统 。 ( 2 ) 在 真 
正 的 主机 或 服务 器 中 ， 安 装 时 ， 如 果 是 新 的 硬盘 ， 可 以 单 击 “驱动 器 选项 ( 高 级 ) ”， 对 当前 硬盘 进行 
分 区 ,但 不 推荐 这 样 做 。 即 使 是 服务 器 的 硬盘 ,你 也 可 以 在 安装 完 操作 系统 之 后 ,使 用 Windows Server 2008 
提供 的 硬盘 管理 工具 ， 调 整 当前 分 区 的 大 小 ， 并 创建 新 的 分 区 。 
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四 9 之 后 ， 安 装 程序 开始 Windows Server 2008 R2 的 安装 ， 如 图 1-12 所 示 。 这 个 安装 过 程 大 
约 需要 30 分 钟 的 时 间 ， 在 这 个 安装 的 过 程 中 ， 用 户 可 以 返回 到 主机 ， 进 行 其 他 操作 。 
因 0 安装 完 Windows Server 2008 R2 之 后 ， 在 第 一 次 登录 的 时 候 ， 需 要 修改 密码 ， 如 图 1-13 


图 1-13 首次 登录 更 改 密码 


在 没有 安装 Hyper-V 的 “集成 服务 安装 盘 一 虚拟 机 的 驱动 程序 " 之 前 , 鼠标 不 能 直接 从 虚拟 机 中 “ 移 
动 ” 到 “主机 ”中 ， 如 果 你 想 从 虚拟 机 的 控制 中 返回 到 主机 ， 请 按 热 键 “Ctl+Altt*- ( 即 左 箭头 键 ) ”， 
这 样 就 可 以 返回 到 主机 控制 状态 了 。 以 后 想 控制 虚拟 机 ， 用 鼠标 在 虚拟 机 的 窗口 中 单 击 一 下 就 可 以 。 


加 二 在 设置 密码 时 ， 需 要 设置 复杂 密码 ， 即 包括 大 写字 母 、“! …#¥%”、 数 字 、 小 写字 母 
四 类 中 的 3 种 ， 并 且 长 度 超过 6 位 ， 在 本 例 中 ， 设 置 密码 为 alb2c3D4， 其 中 D 是 大 写字 母 ， 如 
图 1-14 所 示 。 

记 到 在 “初始 配置 任务 ”窗口 中 ， 选 中 “登录 时 不 显示 此 窗口 ” 复 选 框 ， 然 后 单 击 “ 关 闭 ” 
按钮 ， 如 图 1-15 所 示 。 


ME BE 
ROOD 


Administrator 复杂 密码 ， 如 


[al1b2c3D4， 注 
所 大 小 写 


pm 


1-14 设置 复杂 密码 1-15 关闭 初始 配置 任务 
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1.7.2 ”安装 虚拟 机 驱动 程序 


在 安装 完 Windows Server 2008 R2 之 后 ,为 了 提高 虚拟 机 的 性 能 ， 还 要 安装 称 为 “集成 服务 安 
装 盘 ”的 虚拟 机 驱动 程序 ， 主 要 步骤 如 下 : 


io 山 按 “CtritAltt ”按键 切换 到 主机 ， 在 “操作 ”菜单 中 选择 “插入 集成 服务 安装 盘 ” 菜 
单项 ， 如 图 1-16 所 示 。 

io 到 进入 虚拟 机 之 后 ， 在 弹出 的 “自动 播放 ”对 话 框 中 ， 单 击 “安装 Hyper-V 集成 服务 ” 链 
接 ， 开 始 运行 虚拟 机 附加 程序 ， 如 图 1-17 所 示 。 


| 


DYD 驱动 器 四:) Integration Services 
Setup 
< 


CelA tng 


厂 始终 为 软件 和 游戏 执行 此 操作 : 
CtrlS 
Cart 
ea 


从 总 体 安装 或 运行 程序 


所 * 


， 器 SF 


cr [7 
CerttR 
culty 上 
CtrlE 


图 1-16 安装 虚拟 机 附加 程序 图 1-17 安装 集成 服务 


to3 在 “升级 Hyper-V 集成 服务 ”对 话 框 中 ， 单 击 “ 确 定 ”按钮 ， 如 图 1-18 所 示 。 
t@ 约 在 随后 的 过 程 中 ，Hyper-V 集成 服务 开始 安装 Windows 驱动 程序 ， 如 图 1-19 所 示 。 


图 1-18 升级 图 1-19 开始 安装 
tog 安装 程序 完成 之 后 ， 单 击 “ 是 ”按钮 ， 如 图 1-20 所 示 ， 重 新 启动 虚拟 机 。 


全 有 到 您 必 有 重新 启 系统 能 


1-20 ”安装 完成 


当 再 次 进入 系统 后 ， 鼠 标 就 可 以 直接 在 “虚拟 机 ”与 “主机 ”之 间 自 由 切换 了 ， 并 且 虚 拟 机 
的 性 能 会 有 所 提高 。 


1.7.3 Windows Server 2008 R2 的 基本 配置 


在 安装 完 虚 拟 机 的 驱动 程序 之 后 ,再 次 进入 Windows Server 2008 R2。 下 面 介绍 Windows Server 
2008 R2 的 基本 配置 。 
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1. 登录 进入 系统 


首先 ， 按 下 “Ctrl+AltrtEnd” 按 键 ， 或 者 在 “操作 ”菜单 中 选择 “Ctrlt+AlttDelete” 命 令 ， 开 
始 登录 ， 如 图 1-21 所 示 。 然 后 输入 用 户 名 、 密 码 ， 登 录 进 入 系统 。 


Windows Server om 


图 1-21 开始 登录 


2. 关闭 屏幕 保护 程序 


对 于 虚拟 机 来 说 (包括 Hyper-V Server 的 虚拟 机 、VMware 的 虚拟 机 )， 建 议 关 闭 “ 屏 幕 保护 
程序 ”以 提高 虚拟 机 的 性 能 。 


四 打开 “控制 面板 一 所 有 控制 面板 选项 一 显示 ”窗口 ， 单 击 “ 更 改 屏幕 保 护 程序 ”链接 ， 
如 图 1-22 所 示 。 

to 在 弹出 的 “屏幕 保护 程序 设置 ”对 话 框 中 ， 在 “屏幕 保护 程序 ”下 拉 列 表 中 选择 “无 ”， 
如 图 1-23 所 示 。 


1-22 ”显示 选项 1-23 ”取消 屏幕 保护 


1 到 然后 单 击 “ 更 改 电源 设置 ”按钮 ， 在 弹出 的 “电源 选项 ”对 话 框 中 ， 在 “平衡 ”处 单 击 
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“更 改 设计 设置 ”链接 ; 在 弹出 的 “更 改 计划 的 设置 : 平衡 ”对 话 框 中 ， 在 “关闭 显示 器 ”下 拉 列 
表 中 选择 “从 不 ”， 如 图 1-24 所 示 。 然 后 单 击 “保存 修改 ”按钮 返回 “电源 选项 ”， 并 关闭 这 个 
对 话 框 返回 到 “屏幕 保护 程序 设置 ”对 话 框 ， 单 击 “ 确 定 ” 按 钮 。 


图 1-24 ”从 不 关闭 显示 器 


3. 压缩 卷 并 创建 新 的 分 区 


在 前 面 安装 系统 的 时 候 ， 我 们 介绍 过 ,选择 整个 硬盘 安装 系统 ， 并 在 安装 系统 完成 之 后 ， 使 用 
Windows Server 2008 R2 自 带 的 磁盘 管理 工具 调整 分 区 的 大 小 ， 并 创建 新 的 分 区 。 接 下 来 我 们 介绍 
操作 步骤 。 


0 进入 “服务 器 管理 器 ”窗口 ， 在 左 侧 窗 格 中 定位 到 “存储 一 磁盘 管理 ”选项 ， 在 右 侧 的 
“ 磁 表 管 理 ” 列表 中 ,选中 要 进行 压缩 的 磁盘 ,， 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “压缩 卷 
命令 ， 如 图 1-25 所 示 。 

to3 在 弹出 的 “压缩 C: ”对 话 框 中 ， 显 示 了 “压缩 前 的 总 计 大 小 ”、“ 可 用 压缩 空间 大 小 ”， 
在 “输入 压缩 空间 量 ”文本 框 中 输入 610853MB， 然 后 单 击 “ 压 缩 ” 按 钮 ， 如 图 1-26 所 示 。 


[EE > 
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Ea 输入 压 阅 空间 里 0 全 ]; 

人 夺 纺 后 3 总 计 大 小 0) Bos: 

0 

Hy 

| 有 关 评 钠 信息 ， 请 条 网 央 管 于 帮助 中 的 压强 基 下 矢 。 

bu TE mm 取消 信 ) 
图 1-25 压缩 卷 图 1-26 压缩 


对 于 Windows Server 2008， 建 议 C 盘 最 小 空间 为 40GB; 对 于 Windows Server 2008 R2 来 说 ， 建 议 


C 盘 最 小 为 50 ~ 60GB。 这 样 以 后 无 论 升级 到 更 新 的 版 本 ， 还 是 打 补 丁 、 安 装 驱动 等 ， 或 是 安装 一 些 必须 
的 系统 文件 ， 都 会 有 足够 的 空间 。 当 然 ， 即 使 磁盘 空间 不 够 ， 也 可 以 使 用 “扩展 卷 ” 的 方式 ， 调 整 分 区 
的 大 小 ， 这 些 内 容 会 在 后 面 的 章节 介绍 。 
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togj 压缩 之 后 ， 当 前 磁盘 的 右 侧 会 有 压缩 后 的 大 小 ( 压缩 节省 下 来 的 空间 ) ， 用 鼠标 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 “新 建 简单 卷 ”命令 ， 如 图 1-27 所 示 。 

0 多 在 “新 建 简单 卷 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “指定 卷 大 小 ”对 话 框 ， 
单 击 “ 下 一 步 ”按钮 ， 使 用 最 大 的 可 用 空间 。 在 “分 配 了 驱动 器 号 和 路 径 ” 对 话 框 中 ， 为 新 建 卷 分 配 


驱动 器 号 ， 如 图 1-28 所 示 。 


分 配 要 动 中 号 和 矿 征 
为 了 便于 访问 ， 可 以 接 确 坦 分 区 分 可 开动 器 号 或 驱动 器 路 径 。 


1-27 新 建 简单 卷 


1-28 ”分 配 驱动 器 号 和 路 径 


用 户 可 以 在 “分 配 以 下 驱动 器 号 ”下 拉 列 表 中 ， 为 新 建 的 卷 选择 其 他 不 同 的 盘 符 ; 也 可 以 选择 “ 装 


入 以 下 空白 NTFS 文件 夹 中 ”， 在 现 有 的 盘 符 中 ， 创 建 一 个 新 的 文件 夹 ， 将 新 建 的 卷 装 入 到 这 个 文件 夹 
中 ; 也 可 以 选择 “不 分 配 驱动 器 号 或 驱动 器 路 径 ”， 以 后 再 进行 分 配 。 


tog 在 “格式 化 分 区 ”对 话 框 中 ， 用 NTFS 文件 系统 ， 格 式 化 新 建 卷 ， 并 为 新 建 分 区 创建 郑 


标 ， 如 图 1-29 所 示 。 


to8j 在 “正在 完成 新 建 简单 卷 向 导 ” 对 话 框 ， 单 击 “完成 ”按钮 ， 创 建 卷 完 成 。 这 样 ， 在 不 
损坏 现 有 分 区 、 不 丢失 数据 的 前 提 下 ， 我 们 使 用 Windows Server 2008 R2 的 “磁盘 管理 ”工具 ,在 
只 有 一 个 分 区 的 情况 下 ， 创 建 并 添加 了 一 个 新 的 分 区 。 添 加 后 的 界面 如 图 1-30 所 示 。 


相 式 化 分 区 
这个 区 上 4 雪 搞 ， 你 和 拉 攻 相 芭 化 - 


这样 友 要 机 化 这 1 各 要 检 革 化， 要 人 和 什 和 区 。 
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1-29 格式 化 分 区 


图 1-30 创建 并 添加 新 分 区 
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Windows Vista 及 其 以 后 的 操作 系统 ， 所 包括 的 “磁盘 管理 ”功能 ， 都 可 以 调整 分 区 、 压 缩 卷 、 管 理 
卷 功能 ， 我 们 将 在 以 后 的 章节 中 ， 详 细 介 绍 这 个 功能 。 


4. 修改 本 地 策略 


从 Windows NT 操作 系统 开始 ， 每 次 登录 界面 都 会 要 求 用 户 按 下 “Ctrl+Alt+Del” 键 ， 如 果 你 
想 取 消 这 个 功能 ， 可 以 通过 修改 “本 地 组 策略 ”来 实现 。 


to 运行 gspeditmsc， 如 图 1-31 所 示 。 

I02 在 打开 的 “本 地 组 策略 编辑 器 ”对话 框 中 , 在 左 侧 的 窗 格 中 定位 到 “计算 机 配置 一 Windows 
设置 一 安全 设置 一 本 地 策略 一 安全 选项 ”， 双 击 右 侧 的 “交互 式 登 录 : 无 须 按 Ctrl+Alt+Del” 命 令 ， 
在 弹出 的 “交互 式 登录 : 无 须 按 CtritAlt+Del 属性 ”对 话 框 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 如 
图 1-32 所 示 。 
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图 1-31 运行 gpedit.msc 图 1-32 取消 登录 前 Ctrl+Alt+Del 的 设置 

Oo3j 在 左 侧 的 窗 格 中 定位 到 “管理 模板 一 系统 ”， 修 改 “ 激 活 “关闭 事件 跟踪 程序 系统 状态 
数据 ”功能 ”为 “已 禁用 ”， 修改“ 显示 “关闭 事件 跟踪 程序 ，” 为 “已 禁用 ”， 修改 “在 登录 时 
不 显示 “管理 您 的 服务 器 ”页 ”为 “已 启用 ”， 如 图 1-33 所 示 。 然 后 关闭 本 地 策略 编辑 器 。 


1-33 ”修改 系统 策略 
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t@ 绚 打开 “服务 器 管理 器 ”窗口 ， 在 “安全 信息 ”选项 组 中 单 击 “ 配 置 下 SEC” 链 接 ， 在 弹 
出 的 “Internet Explorer 增强 的 安全 配置 ”对 话 框 中 ， 在 “管理 员 ” 和 “用 户 ”字段 中 均 选 中 “ 禁 
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图 1-34 禁用 正 增 强 的 安全 配置 
5. 激活 Windows Server 2008 R2 


如 果 有 可 用 的 序列 号 ， 则 需要 激活 Windows Server 2008 R2， 这 样 可 以 长 期 用 来 做 各 种 测试 。 
当然 ， 即 使 不 激活 Windows Server 2008 R2， 用 来 做 实验 或 者 实际 使 用 ， 也 没有 任何 问题 。 只 是 在 
最 长 超过 180 天 之 后 ,每 次 进入 系统 都 会 提醒 用 户 激活 ， 但 可 以 选择 “以 后 激活 ”来 继续 使 用 。 下 
面 演示 一 下 激活 的 步 又 。 


风 在 “控制 面板 ”中 打开 “系统 ” (也 可 以 用 鼠标 右 击 “ 计 算 机 ”， 在 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 进入 ) ， 单 击 “ 更 改 产 品 密 钥 ” 链 接 ， 如 图 1-35 所 示 。 
03 在 弹出 的 “Windows 激活 ”对 话 框 中 ， 输 入 Windows Server 2008 R2 企业 版 的 产品 序列 


号 ， 如 图 1-36 所 示 。 然 后 单 击 “ 下 一 步 ”按钮 。 
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图 1-35 更 改 产品 密 钥 图 1-36 输入 产品 密 钥 
03 如 果 当 前 的 计算 机 能 连接 到 Intemet， 并 且 输 入 的 产品 密 钥 在 授权 范围 内 ,将 会 弹出 “ 激 
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活 成 功 ”的 提示 框 ， 如 图 1-37 所 示 。 
4 如 果 输 入 的 产品 密 钥 超过 授权 范围 ， 将 会 出 现 “Windows 激活 错误 ”的 提示 ， 如 图 1-38 
所 示 。 当 出 现 这 种 情况 下 ， 返 回 到 图 1-35、 图 1-36， 重 新 输入 新 的 密 钥 进行 激活 。 
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图 1-37 激活 成 功 图 1-38 ”激活 错误 
tog 激活 成 功 之 后 ,在 “控制 面板 一 系统 ”中 , 会 显示 “Windows 已 激活 ”的 提示 ， 如 图 1-39 
所 示 。 
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1-39 Windows 已 激活 


如 果 不 想 激 活 Windows Server 2008 R2， 又 想 延 期 使 用 它 ， 可 以 在 激活 到 期 后 ， 在 命令 提示 窗口 中 ， 


运行 slmgr.vbs /rearm 命令 ,通过 重 置 计算 机 的 授权 状态 的 方法 ， 延 期 使 用 。 每 运行 一 次 simgr.vbs /rearm， 
将 延长 60 天 的 激活 期 , 并且 可 以 运行 三 次 slmgr.vbs /rearm 命令 。 也 可 以 使 用 slmgr.vbs /dlv, 查看 剩余 激 
活 时 间 以 及 重 置 激活 次 数 。 


6. 安装 常用 软件 

在 Windows Server 2008 R2 进行 激活 和 基本 配置 之 后 , 为 了 以 后 实验 方便 , 我 们 将 在 Windows 
Server 2008 R2 中 ， 安 装 需要 的 常用 软件 ， 例 如 WinRAR 程序 、 输 入 法 等 ， 但 不 建议 在 虚拟 机 中 安 
装 杀毒 软件 、 监 控 软件 。 这 些 安装 方法 ， 与 在 主机 系统 中 安装 一 致 ， 不 一 一 介绍 。 


如 果 想 将 安装 程序 “拷贝 " 到 虚拟 机 中 , 可 以 直接 在 虚拟 机 中 连接 Internet, 使 用 共享 文件 来 等 方式 ， 
获得 安装 程序 。 


7. 备份 安装 好 的 虚拟 机 
在 以 后 的 学 习 中 ， 我 们 会 多 次 使 用 安装 、 配 置 好 的 虚拟 机 做 各 种 实验 。 实 验 可 能 会 成 功 ， 也 
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可 能 会 失败 。 当 实验 失败 后 ,我们 可 能 将 Windows Server 2008 R2 恢复 到 实验 前 的 状态 ， 也 可 能 不 
能 完全 恢复 到 实验 前 的 状态 。 

户 可 以 使 用 Hyper-V 的 “快照 ”方式 ， 保 存 Windows Server 2008 R2 虚拟 机 的 状态 ， 或 者 
使 用 HyperV 的 “导出 ”、“ 导 入 ”功能 ， 备 份 虚拟 机 ， 有 关 这 些 操作 ， 可 参见 本 书 第 11 章 的 相 
关内 容 。 


第 2 章 Windows Server 2008 R2 基本 配置 


Windows Server 2008 R2 的 操作 与 我 们 熟悉 的 Windows XP、Windows Server 2003 相 比 ， 有 较 
大 的 区 别 。 为 了 全 面 地 了 解 并 熟悉 Windows Server 2008， 本 章 将 介绍 Windows Server 2008 R2 的 
基本 配置 ， 包 括 修改 计算 机 名 称 、 设 置 卫 地 址 等 设置 ， 还 将 介绍 Windows Server 2008 R2 的 用 户 
与 用 户 组 管理 、Windows Server 2008 R2 的 防火 墙 设置 等 内 容 。 


2.1 控制 面板 选项 


在 Windows Server 2008 R2 的 “控制 面板 ”设置 中 ， 可 以 调整 计算 机 的 设置 ， 下 面 将 对 “显示 
设置 ”、“ 鼠 标 指针 ”等 几 项 进行 介绍 ， 其 他 项 请 读者 自行 学 习 。 
2.1.1 鼠标 指针 


进入 操作 系统 后 , 用 鼠标 右 击 桌面 , 在 弹出 的 快捷 菜单 中 选择 “屏幕 分 辨 率 ”( 如 图 2-1 所 示 )， 
打开 “控制 面板 一 所 有 控制 面板 项 一 显示 一 屏幕 分 辨 率 ”对 话 框 ， 单 击 “ 所 有 控制 面板 选项 ”， 如 


图 2-2 所 示 。 
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图 2-1 屏幕 分 辨 率 图 2-2 所 有 控制 面板 选项 


在 图 2-2 中 ， 单 击 “ 和 鼠标” 链接 ， 将 打开 “鼠标 属性 ”对 话 框 ， 在 该 对 话 框 中 ， 可 以 调整 鼠 
标的 移动 速度 、 双 击 速度 、 鼠 标 左 右键 切换 、 鼠 标的 指针 方案 〈 如 图 2-3 所 示 ) 、 鼠 标 滑轮 等 项 。 
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图 2-3 鼠标 指针 方案 
2.1.2 显示 设置 


在 图 2-2 中 ， 单 击 “ 显 示 ” 链 接 ， 打 开 “ 显 示 ” 对 话 框 ， 该 对 话 框 包括 “调整 分 辨 率 ”、“ 更 
改 桌面 背景 ”、“ 更 改 配色 方案 ”、“ 更 改 屏幕 保护 程序 ”、“ 更 改 显 示 器 设置 ”、“ 调 整 ClearType 
文本 ”、“ 设 置 自 定义 文本 大 小 (DPI) ”选项 ， 如 图 2-4 所 示 。 
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图 2-4 显示 设置 


单 击 “ 调 整 分 辨 率 ”链接 ， 打 开 “ 屏 幕 分 辨 率 ”对 话 框 ， 在 此 可 以 设置 显示 器 的 分 辩 率 ， 如 
图 2-5 所 示 。 


17 英寸 和 19 英寸 标准 液晶 显示 器 ， 其 最 佳 分 辨 率 为 1280 x 1024; 20 英寸 标准 液晶 显示 器 最 佳 分 辨 


率 为 1600 x 1200; 20 英寸 和 22 英寸 宽屏 液晶 显示 器 最 佳 分 辨 率 为 1600 x 1050; 24 英寸 宽屏 液晶 浏览 器 
最 佳 分 辩 率 为 1920 x 1200。 


在 图 2-5 中 ， 单 击 “ 高 级 设置 ”按钮 ， 在 “监视 器 ”选项 卡 中 ， 可 以 调度 显示 器 的 刷新 频率 ， 
如 图 2-5 所 示 。 对 于 液晶 显示 器 来 说 ， 屏 幕 刷新 频率 调整 为 60Hz 或 75Hz 即 可 ; 如 果 是 CRT 显示 
器 ， 则 推荐 调整 为 85Hz (最 低 为 73Hz) 。 

在 “疑难 解答 ”选项 卡 中 ， 单 击 “ 更 改 设置 ”， 在 弹出 的 “显示 适配器 疑难 解答 ”对 话 框 中 ， 
可 以 调整 硬件 加 速 设置 。 一 般 情况 下 ,将 “硬件 加 速 ” 状 态 条 调整 到 最 右 侧 (完全) ， 可 以 获得 最 
好 的 性 能 ， 如 图 2-6 所 示 。 
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图 2-5 屏幕 刷新 频率 设置 图 2-6 启用 硬件 加 速 


当 计 算 机 有 多 个 显示 器 时 ， 可 以 将 显示 桌面 扩展 到 多 个 显示 器 上 ， 如 图 2-7 所 示 。 也 可 以 选择 
其 中 任意 一 个 作为 主 显示 器 ， 用 鼠标 选中 其 中 的 一 个 显示 桌面 ， 通 过 左右 、 上 下 移动 来 更 改 显 示 
位 置 。 


2-7 多 显示 器 


从 Windows 98 开始 ，Windows 即 支持 多 个 显示 器 。 可 以 单独 设置 每 个 显示 器 的 分 辩 率 与 屏幕 刷新 
频率 ,也 可 以 调整 多 个 显示 器 的 位 置 。 可 以 在 多 个 显示 器 中 显示 同一 个 界面 ( 在 “多 显示 器 ”中 选择 “ 复 
制 这 些 显示 ”选项 )， 或 者 ， 只 在 其 中 一 个 显示 器 上 显示 内 容 而 不 使 用 其 他 显示 器 。 


2.1.3 ”调整 字体 大 小 


在 图 2-4 中 ， 单 击 “ 设 置 自 定义 文本 大 小 (DPI) ”链接 ， 进 入 “DPI 缩放 比例 ”对 话 框 ， 默 
认 情 况 下 ， 显 示 为 95DPI。 如 果 的 笔记 本 是 高 分 屏 ， 要 想 获得 更 好 的 显示 效果 ， 可 以 选择 “更 大 比 
例 〈120DPI) ”， 或 者 单 击 “ 自 定义 DPI” 按 钮 ， 在 弹出 的 “ 自 定义 DPI 设置 ”对 话 框 中 ， 缩 放 
为 正常 比例 的 100%、125%、150%、200%， 如 图 2-8 所 示 。 


通常 情况 下 ， 推 荐 使 用 “最 佳 分 辨 率 ”， 但 对 于 有 些 高 分 辩 率 显示 屏 的 计算 机 来 说 ， 使 用 最 佳 分 辨 
率 后 ， 显 示 字 体会 比较 小 。 为 了 兼顾 最 佳 分 辩 率 与 显示 字体 之 间 的 问题 ， 可 以 在 图 2-8 所 示 的 “ 自 定义 


DPI 设置 ”对 话 框 中 ， 通 过 调整 DPI 缩放 比例 ， 在 最 佳 分 辩 率 的 基础 上 ， 获 得 最 好 的 显示 效果 。 
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2-8 DPI 缩放 比例 


2.2 修改 计算 机 名 称 与 SID 


在 企业 网 络 中 ， 需 要 做 统一 规划 的 有 “计算 机 名 称 ”、“ 卫 地 址 ”、“ 用 户 名 ”、“ 用 户 组 
名 ”、“ 组 织 单位 名 称 ” 等 信息 。 一 个 规划 好 的 网 络 ， 可 以 根据 网 络 中 的 “计算 机 名 称 ” 信 息 ， 久 
道 计算 机 的 使 用 者 及 其 所 属 单位 及 部 门 。 

在 企业 网 络 中 ， 可 以 有 多 种 方式 规划 “计算 机 名 称 ”。 例如， 如 果 网 络 规模 比较 小 ， 可 以 直接 
用 计算 机 使 用 者 的 人 名 的 “全 称 ” 或 “简称 ”加 后 缀 或 前 级 的 方式 ， 如 果 网 络 规模 比较 大 ， 可 以 用 
“部 门 名 称 ”作为 前 级 、 用 使 用 者 的 人 名 作为 后 级 的 方式 进行 命名 。 当 有 重 名 的 时 候 ， 可 以 采用 力 
序号 的 方式 进行 。 例 如 ， 表 2-1 介绍 了 几 种 计算 机 名 称 的 命名 方式 。 


表 2-1 计算 机 名 称 的 示例 命名 
[k= | 


[| 


FT 


( 1 ) 无 论 采用 何 种 命名 方式 ， 计 算 机 名 称 的 总 长 度 不 要 超过 15 个 字符 。 

( 2 ) 在 没有 加 入 到 域 ( Active Directory ) 的 工作 组 网 络 中 ,计算 机 名 称 是 “NetBIOS 名 称 ”， 该 名 
称 不 能 在 多 个 VLAN 的 网 络 中 ， 不 能 通过 广播 的 方式 获得 其 对 应 的 IP 地址 ， 要 想 在 VLAN 的 网 络 中 ， 
采用 NetBIOS 名 称 进行 网 络 通信 ， 需 要 在 组 织 中 配置 WINS 服务 器 进行 解析 。 

(3 ) 无 论 采 用 何 种 命名 方式 ， 在 同一 个 组 织 内 命名 方式 应 该 统一 。 


在 Windows Server 2008、Windows Server 2008 R2 中 ， 修 改 计算 机 名 称 的 步骤 如 下 。 


WO 和 在 “开始 ”菜单 中 ， 用 鼠标 右 击 “计算 机 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”， 如 


Windows Server 2008 R2 基本 配置 第 2 章 


图 2-9 所 示 。 


92 在 打开 的 “控制 面板 一 所 有 控制 面板 一 系统 ”对 话 框 中 ， 在 “计算 机 名 称 、 域 和 工作 组 


设置 ”选项 组 中 显示 了 当前 计算 机 的 名 称 、 工 作 组 或 域 描述 。 单 击 “ 改 变 设置 ”链接 ( 如 图 2-10 
所 示 ) ， 即 可 修改 计算 机 名 称 。 


Ew| 如 名 司 
图 2-9 计算 机 属性 


图 2-10 更 改 设置 
io3j 在 弹出 的 “系统 属性 ”对 话 框 中 ， 在 “计算 机 名 ”选项 卡 中 ， 单 击 “ 更 改 ” 按 钮 ， 在 弹 
出 的 “计算 机 名 / 域 更 改 ” 对 话 框 中 ， 在 “计算 机 名 ”文本 框 中 ， 输 入 修改 后 的 计算 机 名 称 (在 本 
例 中 ， 将 计算 机 名 称 修改 为 ws08r2。 在 Windows 系统 中 ， 计 算 机 名 称 是 不 分 大 小 写 的 ) ， 也 可 以 
在 “隶属 于 ”选项 组 中 ,修改 “工作 组 ”名 称 ,或 者 将 计算 机 加 入 到 域 。 修 改 之 后 单 击 “确定 ” 按 
钮 ， 在 弹出 的 “计算 机 名 / 域 更 改 ” 提 示 框 中 ， 单 击 “ 确 定 ”按钮 ， 如 图 2-11 所 示 。 
ela lxs lise | ; 
Je 是 atows 合同 以 下 俩 夸 在 网 络 中 标识 六 合计 下 机 > 
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图 2-11 修改 计算 机 名 称 
04 修改 计算 机 名 称 后 ， 根 据 提示 ， 重 新 启动 计算 机 。 


如 果 想 修改 计算 机 名 称 ， 并 且 将 计算 机 加 入 到 域 ， 可 在 修改 计算 机 名 称 后 ， 重 新 启动 计算 机 ， 再 次 
进入 系统 后 ， 完 成 “将 计算 机 加 入 到 域 ”的 操作 。 如 果 在 修改 计算 机 名 称 后 ， 同 时 完成 “将 计算 机 加 入 


到 域 ”的 操作 ， 计 算 机 会 将 旧 的 名 称 加 入 到 域 ， 这 样 就 达 不 到 我 们 的 要 求 了 。 
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目前 ， 主 机 虚拟 化 是 一 个 “主流 ”的 应 用 。 在 采用 虚拟 化 技术 之 后 ， 使 用 虚拟 化 管理 工具 ， 
从 一 个 “模板 ”虚拟 机 ， 可 以 轻易 地 复制 出 多 台 相 同 的 Windows Server 2008 或 Windows 7 操作 系 
统 。 如 果 复 制 的 多 台 Windows Server 2008 或 Windows 7 是 分 别 用 于 不 同 的 网 络 ， 不 会 有 任何 问题 
的 。 如 果 复 制 的 多 台 Windows Server 2008 或 Windows 7 用 于 相同 的 网 络 ， 并 且 都 要 加 入 到 Active 
Directory， 由 于 这 些 克 隆 出 来 的 计算 机 有 具有 相同 的 SID， 则 会 造成 网 络 问题 。 为 了 避免 这 个 问题 ， 
需要 在 克隆 后 的 计算 机 中 , 通过 运行 sysprep 程序 , 以 重新 生成 SID。Windows 2008、Windows Vista 
之 后 的 系统 ， 在 安装 的 时 候 ， 已 经 集成 了 sysprep 程序 ， 可 以 打开 命令 提示 符 窗 口 ， 进 入 
ci\windows\system32\sysprep 文件 夹 ， 通 过 执行 sysprep /generalize， 重 新 生成 SID， 这 样 复制 后 的 
计算 机 ， 再 加 入 到 Active Directory 就 不 会 有 任何 问题 了 ， 如 图 2-12 所 示 。 


erosoft Windove 【时 本 6.0.60021 
lorosoft Corvoracion 


在 运行 sysprep 之 后 ， 原 来 已 经 激活 的 系统 ( 在 复制 前 已 经 激活 、 在 复制 之 后 仍然 是 激活 的 状态 ) ， 
需要 重新 激活 。 


2.3 IP 地 址 与 多 网 络 设置 


在 网 络 中 ， 需 要 对 IP 地 址 、 子 网 掩 码 进行 统一 的 规划 。 对 于 企业 网 络 来 说 ， 通 常 使 用 私有 的 
IP 地 址 段 ， 即 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 的 地 址 范围 ， 并 且 根 据 需要 ， 做 进一步 的 
子 网 划分 。 一 般 情 况 下 ， 如 果 管 理 一 个 网 络 ， 可 以 使 用 上 述 三 个 地 址 范围 中 的 一 部 分 ， 对 整个 网 络 
做 出 规划 。 如 果 网 络 已 经 规划 好 ， 则 可 以 根据 规划 的 内 容 ， 对 新 加 入 到 网 络 中 的 服务 器 、 工 作 站 ， 
进行 合理 的 配置 ， 这 包括 人 P 地址 、 子 网 掩 码 、 网 关 、DNS、WINS 服务 器 等 相关 参数 的 设置 。 


2.3.1 修改 或 设置 IP 地 址 


在 安装 完 Windows Server 2008 后 ， 其 默认 情况 是 “自动 获得 他 地址 ”与 “自动 获得 DNS 服 
务 器 地 址 ” 当 网 络 中 有 DHCP 服务 器 时 , 可 以 自动 从 网 络 中 获得 他 地 址 、 子 网 掩 码 , DNS、WINS 
服务 器 地 址 等 参数 。 如 果 网 络 中 没有 DHCP 服务 器 ， 或 者 虽然 存在 DHCP 服务 器 ， 但 想 要 为 服务 
器 指定 一 个 “静态 ”的 卫 地址 ， 可 以 手动 设置 人 P 地 址 。 在 Windows Server 2008 中 ， 指 定 他 地址 
的 操作 步骤 如 下 。 


Windows Server 2008 R2 基本 配置 ”第 2 党 


罗 划 单 击 屏幕 右 下 角 系 统 状 态 栏 中 的 “ 硕 ””， 在 弹出 的 快捷 菜单 中 选择 “打开 网 络 和 共享 中 
心 ” 选 项 ， 如 图 2-13 所 示 。 

tog 在 “网 络 和 共享 中 心 ”窗口 中 ， 在 “网 络 ” 选 项 组 中 ， 单 击 “ 本 地 连接 ”命令 (如 图 2-14 
所 示 ) ， 在 弹出 的 “本 地 连接 状态 ”对 话 框 中 ， 单 击 “属性 ”按钮 。 
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如 果 想 修改 网 络 连接 的 名 称 、 启 用 或 禁用 网 卡 ， 可 以 在 图 2-14 中 ， 单 击 “ 更 改 适配器 设置 ”链接 ， 
将 会 打开 “网 络 连接 ”窗口 ， 在 此 窗口 中 ， 可 以 重 命名 网 卡 名 称 、 启 用 或 禁用 网 卡 ， 如 图 2-15 所 示 。 这 
相当 于 以 前 的 Windows XP、Windows Server 2003 中 ， 用 鼠标 右 击 桌 面 上 的 “网 上 邻居 ”， 在 弹出 的 快捷 
菜单 中 选择 “属性 ”选项 。 


2-15 网络 连接 


tO3j 在 弹出 的 “本 地 连接 属性 ”对 话 框 中 ， 选 中 “Intemet 协议 版 本 4 (TCP/IPv4)”, 单 
击 “ 属 性 ”按钮 ， 在 弹出 的 “Internet 协议 版 本 4 (TCP/IPv4 ) 属性 ”对 话 框 中 ， 可 以 设置 卫 地 址 
获得 方式 为 “自动 获得 卫 地 址 ”与 “自动 获得 DNS 服务 器 地 址 ”; 也 可 以 选择 “使 用 下 面 的 卫 
地 址 ”与 “使 用 下 面 的 DNS 服务 器 地 址 ”的 方式 ， 指 定 瑟 地 址 、 子 网 掩 码 、 网 关 与 DNS 地 址 ， 
如 图 2-16 所 示 。 

年 如 果 需 要 为 当前 的 网 卡 设置 多 个 卫 地 址 、 多 个 DNS 服务 器 的 地 址 (多 于 2 个 ) ,或 者 
需要 指定 WINS 服务 器 的 地 址 ， 可 以 在 图 2-16 所 示 的 对 话 框 中 ， 单 击 “ 高 级 ”按钮 ,在 弹出 的 “高 
级 TCP/IP 设置 ”对 话 框 中 进行 配置 ， 如 图 2-17 所 示 。 
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图 2-16 指定 耳 地 址 相关 参数 2-17 ”高 级 TCP/IP 设置 


在 图 2-17 所 示 对 话 框 中 ,虽然 也 可 以 添加 多 个 网 关 ,但 不 建议 在 该 对 话 框 中 添加 ,在 此 添加 多 个 网 
关 会 引发 通信 问题 ， 有 关 “ 多 网 络 、 多 网 关 ” 的 内 容 ， 可 参见 “2.3.3 多 网 络 设置 ”一 节 内 容 。 


t@g 在 设置 之 后 ， 依 次 单 击 “ 确 定 ”按钮 返回 。 
2.3.2 ”备用 网 络 设置 


如 果 是 在 笔记 本 或 其 他 便携 式 的 计算 机 上 安装 Windows Server 2008 R2， 并 且 需 要 在 多 个 网 络 
中 切换 时 ， 如 果 需 要 切换 的 多 个 网 络 ， 都 配置 有 DHCP 服务 器 ， 则 计算 机 只 需要 设置 成 “自动 获 
得 他 地 址 ”与 “自动 获得 DNS 服务 器 地 址 ” 即 可 (如 图 2-18 所 示 )， 如 果 要 切换 的 多 个 网 络 ， 有 
的 网 络 中 配置 DHCP 服务 器 ， 有 的 网 络 需 要 指定 静态 的 卫 地 址 ， 就 可 以 使 用 Windows Server 2008 
中 的 “备用 配置 ”功能 来 解决 这 个 问题 。 在 下 面 的 操作 中 ， 假 设 安装 Windows Server 2008 操作 系 
统 的 笔记 本 中 , 一 个 网 络 配置 有 DHCP 服务 器 , 另 一 个 网 络 中 需要 指定 卫 地 址 (本 例 为 172.30.5.60、 
网 关 为 172.30.5.253、DNS 为 172.30.5.15)， 备 用 配置 的 设置 方法 如 下 。 


0 参照 上 文 的 操作 步骤 ， 进 入 “Internet 协议 版 本 4 (TCP/IPv4 ) 属性 ”对 话 框 ， 在 “常规 ” 
选项 卡 中 ， 选 择 “自动 获得 耳 地 址 ”与 “自动 获得 DNS 服务 器 地 址 ”， 如 图 2-18 所 示 。 

to3 在 “备用 配置 ”选项 卡 中 ， 设 置 另 一 个 网 络 需要 指定 的 静态 卫 地 址 、 子 网 掩 码 、 网 关 和 
DNS 服务 器 地 址 ， 如 图 2-19 所 示 。 设 置 完 成 后 单 击 “ 确 定 ” 按 钮 即 可 。 
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图 2-18 自动 获得 地 址 图 2-19 备用 配置 
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2.3.3 ”多 网 络 设置 


在 很 多 时 候 ， 计 算 机 可 能 连接 到 不 止 一 个 网 络 ， 并 且 每 个 网 络 都 有 网 关 地 址 ， 这 时 候 ， 如 果 
用 普通 的 方法 , 在 图 形 界面 中 , 添加 多 个 网 关 地 址 , 是 不 能 同时 连接 到 各 个 网 络 的 。 在 这 种 情况 下 ， 
可 以 使 用 route 命令 ， 通 过 添加 静态 路 由 的 方式 ， 添 加 到 不 同 网 络 ， 以 达到 同时 连接 到 多 个 网 络 的 
目的 。 为 了 让 大 家 有 个 直观 的 认识 ， 我 们 通过 图 2-20 所 示 的 网 络 拓扑 ， 分 析 这 个 问题 。 


0 
32220004 网 络 1 接 入 参数 
20 .05 IP 地址 : 10. 255. 255. 2 
G 子 网 掩 码 ，255. 255. 255. 0 
网 。 关 :， 10. 255. 255.1 
网 络 2 接 入 参数 
ey IP 地 址 : 172. 16.255.2 
9 子 网 掩 码 ，255. 255. 255. 0 
100. 8. 0.0/16 网 关 : 172.16.255.1 
计算 机 
接 入 多 个 网 络 。 Internet 接 入 参数 
IP 地址: 192. 168. 100. 100 
子 网 措 码 ，255. 255. 255. 0 
关 : 192. 168. 100. 254 
er 


图 2-20 接 入 多 网 络 


在 图 2-20 中 ， 有 一 台 计 算 机 同时 连接 到 多 个 网 络 。 这 台 计 算 机 可 以 使 用 1 个 网 卡 ， 也 可 以 使 
用 2 个 或 3 个 网 卡 ， 分 别 接 入 多 个 不 同 的 网 络 。 

如 果 使 用 1 个 网 卡 接 入 3 个 网 络 ， 可 以 根据 图 2-17 所 示 的 示意 图 ， 添加 3 个 人 P 地 址 、 对 应 的 
子 网 掩 码 以 及 Intermet 接 入 参数 中 的 网 关 地 址 (作为 默认 网 关 )， 如 图 2-21 所 示 。 然 后 在 命令 提示 
符 中 ， 输 入 如 下 命令 : 


route add ~p 10.0.0.0 mask 255.0.0.0 10.255.255.1 
route add -~p 20.0.0.0 mask 255.0.0.0 10.255.255.1 
route add -p 172.16.0.0 mask 255.255.0.0 172.16.255.1 
Toute add -p 100.8.0.0 mask 255.255.0.0 172.16.255.1 


命令 效果 如 图 2-22 所 示 。 


2-21 设置 耳 地 址 与 网 关 图 2-22 添加 到 其 他 网 段 的 静态 路 由 


在 添加 静态 路 由 后 ， 可 以 使 用 route print 命令 ， 查 看 已 经 添加 的 静态 路 由 ， 如 图 2-23 所 示 。 
也 可 以 使 用 ipconfig 命令 ， 查 看 当前 计算 机 添加 的 多 个 卫 地 址 ， 如 图 2-24 所 示 。 
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六 交 由 。 
光 汪 网站 拓 友 ”网关 地 直路 点 

人 
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a 255 255 
a 255.25: 192.16-255-1 
a 255 :255-8:8 192.16-25571 


2-23 ”显示 添加 的 静态 路 由 


ipconfig 


indows IP 配置 


2-24 显示 人 P 地 址 


如 果 添 加 的 静态 路 由 有 误 ， 或 者 需要 修改 静态 路 由 ， 可 以 使 用 route delete 命令 ， 删 除 添加 的 
静态 路 由 。 例 如 ， 可 以 使 用 route delete 100.8.0.0 命令 ， 删 除 到 100.8.0.0/16 的 静态 路 由 。 

如 果 计 算 机 使 用 多 个 网 卡 接 入 多 个 网 络 ， 则 设置 的 方法 与 使 用 单个 网 卡 接 入 多 个 网 络 相差 不 
多 ,只 需要 在 对 应 的 网 卡 上 设置 对 应 的 他 地 址 ， 然 后 在 进入 命令 提示 窗口 中 ， 使 用 route 命令 添加 
到 其 他 网 段 的 静态 路 由 即 可 。 例 如 ， 在 图 2-20 的 计算 机 上 ， 有 3 个 网 卡 ， 其 中 网 卡 1 接 入 网 络 1、 
网 卡 2 接 入 网 络 2、 网 卡 3 接 入 Internet， 则 在 网 卡 1 上 设置 人 P 地 址 为 10.255.255.2、 子 网 掩 码 为 
255.255.255.0， 在 网 卡 2 上 设置 了 P 地 址 为 172.16.255.2、 子 网 掩 码 为 255.255.255.0， 在 网 卡 3 设置 
IP 地 址 为 192.168.100.100、 子 网 掩 码 为 255.255.255.0、 网 关 地 址 为 192.168.100.254， 并 设置 DNS 


服务 器 地 址 即 可 。 这 些 不 再 一 一 介绍 。 


当然 ， 网 络 的 接 入 方式 可 能 会 有 更 多 种 。 例 如 ， 在 图 2-20 中 ， 计 算 机 有 2 个 网 卡 ， 其 中 网 卡 
1 分 别 接 入 网 络 1、 网 络 2， 网 卡 2 接 入 Intemet， 则 只 需要 在 网 卡 1 上 设置 10.255.255.2/24、 
172.16.255.2/24 的 地 址 ， 在 网 卡 2 上 设置 接 入 Internet 的 参数 ， 然 后 再 在 命令 窗口 中 ， 使 用 route 


命令 添加 到 网 络 1、 网 络 2 的 静态 路 由 即 可 。 


2.4 Windows 防火 墙 设置 


Windows Server 2008 R2(Windows 7 与 此 类 似 ) 的 Windows 防火 墙 设置 包括 “高 级 共享 设置 ”、 


“基本 防火 墙 ” 与 “高 级 防火 墙 ”、 
2.4.1 ”高 级 共享 设置 


“网 络 位 置 ” 几 部 分 的 内 容 ， 下 面 分 别 进行 介绍 。 


打开 “网 络 和 共享 中 心 ”， 单 击 “ 高 级 共享 设置 ”， 如 图 2-25 所 示 。 


2-25 ”共享 和 发 现 
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在 高 级 共享 设置 中 ， 包 括 不 同 的 组 ， 例 如 “家 庭 或 工作 ”、“ 公 用 ”， 在 每 个 组 后 面 单 击 “ 酌 ” 
可 以 展开 对 应 的 项 并 进行 设置 ， 展 开 之 后 “更 ” 变 为 “全 ”， 单 击 该 按钮 可 以 将 展开 的 项 进行 收 起 。 

(1) 在 “网 络 发 现 ” 中 可 以 选择 “启用 网 络 发 现 ”或 “关闭 网 络 发 现 ”， 设 置 之 后 单 击 “ 保 
存 修改 ”按钮 以 应 用 ， 如 图 2-26 所 示 。 


a a 


[er mw | 
图 2-26 网络 发 现 
“网 络 发 现 ” 是 一 种 网 络 的 设置 ， 该 设置 会 影响 计算 机 是 否 可 以 查看 (找到 ) 网 络 上 的 其 他 计 
算 机 及 其 设置 ， 以 及 网 络 上 的 其 他 计算 机 是 否 可 以 查看 该 计算 机 。“ 网 络 发 现 ” 有 两 种 状态 ， 分 别 
是 “启用 ”和 “关闭 ” 各 状态 的 意义 如 下 。 


@ 启用 : 此 状态 允许 当前 计算 机 查看 其 他 网 络 计算 机 和 设备 ， 并 允许 其 他 网 络 计算 机 上 的 人 
查看 当前 计算 机 。 这 使 共享 文件 和 打印 机 变 得 更 加 容易 。 

e 关闭 : 此 状态 阻止 当前 计算 机 查看 其 他 网 络 计算 机 和 设备 ， 并 阻止 其 他 网 络 计算 机 上 的 用 
户 查 看 当前 计算 机 。 


(2) 文件 和 打印 机 共享 : 在 启用 “文件 和 打印 机 共享 ”时 ， 网 络 上 的 用 户 可 以 访问 从 此 计算 
机 共享 的 文件 和 打印 机 。 

(3) 公用 文件 夹 共享 : 如 果 启 用 “公用 ”文件 夹 共享 ， 则 网 络 上 的 用 户 可 以 访问 该 公用 文件 
来 中 的 文件 ， 如 图 2-27 所 示 。 

如 果 要 查找 “公用 ”文件 夹 的 位 置 ， 可 以 从 “开始 ”菜单 选择 “文档 ”， 在 左 侧 的 任务 窗 格 
中 找到 “公用 图 片 ”、“ 公 用 文档 ”、“ 公 用 下 载 ” 与 “公用 音乐 ”等 ， 如 图 2-28 所 示 。 


ED 


人 启用 并 字 以 人 可以 访 人 用 户 本 只 了 5 入 公立 伯 去 中 的 交 作 
公关 汉文 半天 节录 计算 机 的 用 户 轩 本 惧 访 避 之 此 交 闪 夫 ) 


图 2-27 公用 文件 夹 共 享 图 2-28 ”公用 文件 夹 
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(4) 在 “密码 保护 的 共享 ”中 ， 选 择 是 否 启用 密码 保护 。 如 果 启 用 密码 保护 ， 则 只 有 具备 此 
计算 机 账户 和 密码 的 用 户 才 可 以 访问 共享 文件 、 连 接 到 此 计算 机 的 打印 机 ， 以 及 公用 文件 夹 。 如 果 
要 使 其 他 用 户 具备 访问 权限 ， 则 需要 关闭 密码 保护 。 


2.4.2 ”网 络 位 置 


第 一 次 连接 到 网 络 ， 或 者 网 络 参数 做 出 变动 〈 例 如 更 改 瑟 地 址 ) 时 ， 必 须 选 择 网 络 位 置 。 这 
将 为 所 连接 网 络 的 类 型 自动 进行 适当 的 防火 墙 设置 。 根 据 选择 的 网 络 位 置 ，Windows 为 网 络 分 配 
一 个 网 络 发 现状 态 ， 并 为 该 状态 打开 合适 的 Windows 防火 墙 端口 。 

在 Windows Server 2008、Windows Server 2008 R2 服务 器 产品 中 ， 有 三 个 网 络 位 置 : 专用 、 公 
用 、 域 。 在 Windows Vista、Windows 7 等 工作 站 操作 系统 中 ， 也 有 三 个 网 络 位 置 : 家 庭 、 办 公 室 
和 公共 场所 。 

(1) 家 庭 或 办 公 室 : 如 果 用 户 认 识 并 信任 网 络 上 的 人 和 设备 ， 则 为 家 庭 或 小 型 办 公 网 络 选择 
以 上 位 置 中 的 任 一 位 置 。 默 认 情 况 下 ， 网 络 发 现 处 于 启用 状态 ， 它 允许 用 户 查看 网 络 上 的 其 他 计算 
机 和 设备 并 允许 其 他 网 络 用 户 查 看 当前 的 计算 机 。 

(2) 公共 场所 (公用 网 络 ): 为 公共 场所 〈 如 咖啡 店 或 机 场 ) 中 的 网 络 选择 此 位 置 。 此 位 置 
旨 在 使 当前 计算 机 对 周围 的 计算 机 不 可 见 ， 并 且 帮 助 保护 计算 机 免 受 来 自 Intemet 的 任何 恶意 软 
件 的 攻击 。 对 此 位 置 禁用 网 络 发 现 。 


HE 
如 果 网 络 上 只 有 一 台 计 算 机 并 且 无 须 共享 文件 或 打印 机 ， 则 最 安全 的 选择 是 “公共 场所 ”。 


(3) 专用 网 络 : 专用 网 络 会 启用 “网 络 搜 索 ” 功 能 ， 让 该 计算 机 找到 此 网 络 上 的 其 他 计算 机 ， 
同时 会 通过 “Windows 防火 墙 ” 的 设置 ， 开 放 “ 传 入 的 网 络 搜索 ”端口 ， 让 其 他 用 户 在 网 络 上 浏 
览 到 该 计算 机 。 

(4) 域 网 络 : 加 入 域 的 计算 机 的 网 络 位 置 会 自动 设置 为 “ 域 网 络 ”， 并 且 无 法 自行 更 改 。 

更 改 网 络 位 置 类 型 及 网 络 名 的 步骤 如 下 。 


0 甸 打开 “网 络 和 共享 中 心 ”， 在 “网 络 和 共享 中 心 ”列表 中 ， 显 示 了 当前 计算 机 所 处 的 网 
络 ， 以 及 设置 的 网 络 名 称 ， 如 图 2-29 所 示 。 在 “查看 活动 网 络 ”选项 组 的 网 络 名称 中 ， 单 击 已 经 
选中 的 网 络 位 置 链接 ， 将 会 打开 “设置 网 络 位 置 ” 对 话 框 。 
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图 2-29 ”网络 和 共享 中 心 
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io 到 在 “设置 网 络 位 置 ”对 话 框 中 ， 输 入 选择 新 的 网 络 位 置 如 图 2-30 所 示 。 
ti 到 更 改 完成 之 后 ， 显 示 “ 网 络 位 置 现 在 为 “专用 ””， 如 图 2-31 所 示 。 单 击 “关闭 ”按钮 ， 
完成 修改 。 


图 2-30 网 络 位 置 、 网 络 名 、 网 络 图 标 图 2-31 网 络 位 置 


四 弛 修改 之 后 ， 返 回 到 “网 络 和 共享 中 心 ” 窗 口 ， 可 以 看 到 ， 网 络 位 置 与 名 称 已 经 更 改 ， 如 
图 2-32 所 示 。 


2-32 ”网 络 和 共享 中 心 


2.4.3 ”基本 防火 墙 设置 


在 默认 情况 下 ，Windows Server 2008 R2、Windows 7 等 操作 系统 ， 已 经 启用 了 “Windows 防 
火 墙 ” ， 该 防火 墙 属于 “基本 防火 墙 ”， 它 会 阻止 网 络 上 的 其 他 计算 机 与 此 台 计 算 机 通信 。 

在 “网 络 和 共享 中 心 ” 窗 口中 ， 在 左下 角 单 击 “Windows 防火 墙 ” 选项 将 打开 “Windows 防 
火 墙 ” 窗口 ， 在 该 防火 墙 设置 中 ， 主 要 包括 “打开 或 关闭 Windows 防火 墙 ”、“ 人 允许 程序 或 功能 
通过 Windows 防火 墙 ”、“ 更 改 通知 设置 ”、“ 高 级 设置 ”等 几 项 ， 如 图 2-33 所 示 。 下 面 一 一 介 
绍 。 

to 在 图 2-33 中 ， 单 击 “ 打 开 或 关闭 Windows 防火 墙 ” 或 “更 改 通知 设置 ” 链接， 打开“ 自 


定义 每 种 类 型 的 网 络 位 置 ”对 话 框 ， 在 此 可 以 为 每 个 网 络 位 置 “启用 ”或 “关闭 ”Windows 防火 
墙 ， 如 图 2-34 所 示 。 
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图 2-33 Windows 防火 墙 2-34 ”打开 或 关闭 Windows 防火 墙 设置 


02 在 图 2-33 中 ， 单 击 “ 允 许 程序 或 功能 通过 Windows 防火 墙 ”链接 ， 将 打开 “允许 程序 
通过 Windows 防火 墙 通信 ”对 话 框 ， 在 此 可 以 为 当前 计算 机 ，“ 启 用 ”或 “禁用 ”系统 中 已 经 存 
在 的 “程序 ”或 “端口 ”( 这 些 端口 都 是 允许 外 网 访问 本 计算 机 的 “入 站 ”连接 ， 如 “网 络 发 现 ”、 
“文件 和 打印 机 共享 ”、“ 远 程 桌面 ”等 ) ， 如 果 启 用 某 项 ， 只 要 在 某 项 前 面 的 方 格 中 用 鼠标 单 击 ， 
并 显示 w 提 示 即 为 选中 ， 没 有 w 即 为 禁用 ， 如 图 2-35 所 示 。 


-了 -ee RR 
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2-35 例外 


在 “Windows 防火 墙 ” 中 已 经 添加 了 多 种 服务 ( 端口 ) ， 可 以 在 图 2-35 所 示 的 选项 卡 中 ， 单 击 右 侧 
的 滑动 条 查看 更 多 的 服务 。 


如 果 用 户 的 服务 器 是 Windows Server 2008， 在 “Windows 防火 墙 设置 ”中 ， 需 要 为 当前 计算 
机 开启 一 个 “Windows 防火 墙 ” 不 存在 的 服务 端口 ， 操 作 步 骤 如 下 。 


0 打开 “Windows 防火 墙 一 允许 程序 通过 Windows 防火 墙 通信 ”选项 卡 , 单 击 “ 添 加 端口 ” 
按钮 ， 在 弹出 的 “添加 端口 ”对 话 框 中 ， 输 入 新 添加 的 服务 的 名 称 、 开 放 的 端口 号 (1~ 65535) 、 
开放 协议 (TCP 或 UDP) ， 如 图 2-36 所 示 。 

92 如 果 要 限制 “ 源 网 络 ” 的 客户 端 计算 机 ， 可 以 选中 一 项 服务 ， 单 击 “ 更 改 范围 ”按钮 ， 
在 弹出 的 “更 改 范围 ”对 话 框 中 ， 设 置 源 计算 机 或 源 网 络 ， “任何 计算 机 (包括 Internet 上 的 计 
算 机 ) ”， 这 是 默认 选择 ， 也 可 以 选择 “ 仅 我 的 网 络 ” ( 与 你 的 计算 机 属于 同一 网 络 ) ， 还 可 以 选 
择 “ 自 定义 列表 ” (输入 访问 的 是 一 侣 计算 机 、 一 组 计算 机 或 者 是 某 几 台 计算 机 与 某 几 组 计算 机 的 
组 合 ) ， 如 图 2-37 所 示 。 
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2-37 更 改 范围 


在 图 2-37 所 示 的 “更 改 范围 ”对 话 框 中 ，192.168.1.5 代表 192.168.1.5 这 人 台 计 算 机 ， 
192.168.2.0/255.255.255.0 表示 192.168.2.0 ~ 192.168.2.255 之 间 的 所 有 计算 机 。 另 外 ， 如 果 想 确定 某 台 计 
算 机 ， 也 可 以 用 子 网 掩 码 255.255.255.255 来 表示 ， 如 192.168.1.5/255.255.255.255。 


t@3 如 果 要 解除 对 某 种 程序 的 封锁 ， 可 以 在 “Windows 防火 墙 设置 一 例外 ”中 ， 单 击 “ 添 加 
程序 ”按钮 ， 在 弹出 的 “添加 程序 ”对 话 框 中 ,选择 当前 系统 中 已 经 安装 的 程序 ， 或 者 单 击 “ 浏 览 ” 
按钮 ， 浏 览 选择 不 在 “程序 ”列表 中 的 程序 ， 如 图 2-38 所 示 。 也 可 以 单 击 “ 更 改 范围 ”按钮 ， 限 
制 源 网 络 。 

W044 如 果 该 计算 机 有 多 块 网 卡 ， 还 可 以 在 “高 级 ”选项 卡 中 ， 选 择 希望 Windows 防火 墙 所 保 
护 的 网 络 ， 可 以 让 “Windows 防火 墙 ” 只 保护 所 选 定 的 网 络 连接 ， 如 图 2-39 所 示 。 


图 2-38 ”添加 程序 图 2-39 选择 保护 的 网 络 
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io 加 设置 之 后 ， 单 击 “ 确 定 ”按钮 ， 完 成 设置 。 
2.4.4 高 级 安全 Windows 防火 墙 设置 


在 Windows 防火 墙 中 ， 只 能 对 “入 站 规则 ”进行 限制 ， 如 果 想 限制 “出 站 规则 ”， 或 者 需要 对 
Windows 防火 墙 的 “入 站 规则 ”进行 进一步 设置 ， 可 以 使 用 “高 级 安全 Windows 防火 墙 ” 功 能 。 


四 在 “开始 一 管理 工具 ”中 选择 “高 级 安全 Windows 防火 墙 ” ， 打 开 “ 高 级 安全 Windows 
防火 墙 ” 程序， 如 图 2-40 所 示 。 


2-40 ”高 级 安全 Windows 防火 墙 


在 “高 级 安全 Windows 防火 墙 ” 中 ， 包 括 “ 入 站 规则 ”“ 出 站 规则 ”“ 连 接 安 全 规则 ”“ 监 


视 ”等 项 , 在 工具 栏 上 , 单 击 “ 国 ”可 以 显示 或 隐藏 控制 台 树 ， 单 击 “ 国 ”显示 或 隐藏 操作 窗 格 。 

io3 在 “入 站 规则 ”中 ， 显 示 了 系统 中 创建 的 一 些 规则 ， 这 些 规则 有 的 已 经 启用 ( 规则 前 面 
是 绿色 的 ) ， 有 的 处 于 禁用 状态 (规则 前 面 是 灰色 的 ) ， 可 以 右 击 选中 一 个 规则 ， 在 弹出 的 快 
捷 菜 单 中 选择 “启用 规则 (规则 是 禁用 状态 ) ”或 “禁用 规则 (规则 是 启用 状态 ) ”。 例如 ， 如 果 
允许 网 络 中 的 计算 机 ping 通 本 人 台 计 算 机 ,可 以 启用 “文件 和 打印 机 共享 ( 回 显 请 求 -ICMPv4-In ) ”， 
如 图 2-41 所 示 。 | 


和 
芝 
东 
乱 
答 
乱 
答 
芝 
答 
各 
各 
乱 
答 
所 
答 
从 
芝 
各 
加 
本 
符 
从 
和 
乱 
和 
和 


2-41 ”修改 规则 状态 


Windows Server 2008 R2 基本 配置 第 2 沼 


四 3 在 右 击 选 中 一 个 规则 后 ， 除 了 启用 或 禁用 规则 外 ， 还 可 以 删除 该 规则 ， 也 可 以 选中 “ 属 
性 ”， 查 看 该 规则 的 详细 信息 ， 如 图 2-42 所 示 。 

四 出 如 果 要 添加 系统 中 不 存在 的 规则 ， 先 选中 “入 站 规则 ”或 “出 站 规则 ”， 在 右 侧 的 “ 操 
作 ” 控 制 台 中 ， 单 击 “ 新 规则 ”链接 ， 在 弹出 的 “新 建 入 站 (或 出 站 ) 规则 向 导 ” 中 ， 根据 向 导 进 
行 操 作 即 可 ， 如 图 2-43 所 示 。 
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规则 属性 图 2-43 新建 规 则 
io 甸 在 “监视 一 防火 墙 ” 中 ， 显 示 了 当前 启用 的 防火 墙 规则 ， 如 图 2-44 所 示 。 


图 2-42 


2-44 启用 的 防火 墙 规则 


2.5 系统 属性 设置 与 修改 


在 “系统 ”属性 中 ， 包 括 “ 设 备 管理 器 ”、“ 远 程 设置 ”、“ 高 级 系统 设置 ”三 部 分 内 容 ， 
可 以 修改 计算 机 的 名 称 、 设 置 虚拟 内 存 ， 配 置 远程 桌面 、 文 件 、 环 境 等 内 容 。 
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2.5.1 系统 任务 


从 “开始 ”菜单 右 击 “计算 机 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 (如 图 2-45 所 示 ) ， 
将 会 打开 “系统 ”窗口 ， 如 图 2-46 所 示 。 


Ou 


图 2-45 计算 机 属性 图 2-46 系统 任务 
2.5.2 设备 管理 器 


在 图 2-46 左 侧 窗 体 中 ， 单 击 “ 设 备 管理 器 ”链接 (或 者 在 图 2-45 所 示 菜 单 中 右 击 “ 计 算 机 ”， 
在 弹出 的 快捷 菜单 中 选择 “管理 ”, 打开 “服务 器 管理 器 ”窗口 , 在 “诊断 ”中 选择 “设备 管理 器 ”) ， 
打开 “设备 管理 器 ”控制 台 ， 如 图 2-47 所 示 。 


图 2-47 设备 管理 器 
在 “设备 管理 器 ”中 ， 可 以 实现 下 列 功能 : 


日 为 没有 安装 驱动 程序 的 设备 (通常 设备 名 称 前 面 有 黄色 的 感叹 号 ) 安装 驱动 程序 (需要 有 
适合 当前 操作 系统 的 该 设备 的 驱动 程序 文件 ) 。 

。 ” 却 载 不 再 需要 的 设备 。 

日 更 新 设备 驱动 程序 ， 或 者 返回 上 一 版 本 驱动 程序 。 

日 对 设备 进行 进一步 的 设置 。 

例如 ， 在 图 2-47 所 示 的 窗口 中 ， 右 击 “ 磁 盘 驱动 器 一 Virtual HD ATA Device”， 在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”选项 ， 打 开 该 虚拟 磁盘 的 属性 页 ， 在 “策略 ”选项 卡 中 ， 选 择 “ 启 用 磁盘 上 
的 写 入 缓存 ”与 “启用 高 级 性 能 ” 复 选 框 ， 如 图 2-48 所 示 。 
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如 果 是 USB 等 外 接 存储 设备 ， 一 般 选 择 “为 快速 删除 而 优化 ”， 这 样 可 以 在 不 使 用 设备 时 ， 随 时 拔 
出 该 设备 。 


在 “驱动 程序 ”选项 卡 中 ， 可 以 查看 驱动 程序 的 详细 信息 ， 也 可 以 “更 新 驱动 程序 ” (需要 
有 最 新 的 驱动 程序 文件 ) ， 如 果 该 设备 安装 了 多 个 版 本 的 驱动 程序 ， 可 以 单 击 “ 回 滚 驱 动 程 序 ” 按 
钮 ， 选 择 上 一 个 驱动 程序 ， 如 图 2-49 所 示 。 


Virtoel 1D ATA Davie 
条 内 | 守 鸭 | 若 。。 开动 各 所 | 谤 和 信息 | 
ri 加 Th levice 

2 


图 2-48 ”高 级 性 能 图 2-49 ”驱动 程序 
2.5.3 ”远程 设置 


在 图 2-46 所 示 的 窗口 中 单 击 “ 远 程 设置 ”链接 ， 打 开 “ 系 统 属性 一 远程 ”对 话 框 ， 在 该 对 话 
框 中 ， 可 以 设置 “远程 协助 ”与 “远程 桌面 ”， 对 于 Windows Server 2008 等 服务 器 操作 系统 来 说 ， 
“远程 桌面 ”是 一 个 非常 有 用 的 功能 ， 启 用 该 功能 后 ， 可 以 在 网 络 中 任意 一 台 装 有 Windows 操作 
系统 的 计算 机 上 ， 使 用 “远程 桌面 客户 端 ” 连接 到 这 人 台 服 务 器 。 

对 于 Windows Server 2008 来 说 ， 如 果 想 让 低 版 本 的 操作 系 。 saa 
统 (Windows XP、Windows Server 2003) 的 远程 桌面 客户 端 连 
接 到 这 人 台 计算 机 ， 可 以 选择 “允许 运行 任意 版 本 远程 桌面 的 计算 
机 连接 〈 较 不 安全 ) ”选项 ， 如 果 选 中 “只 允许 运行 带 网 络 级 身 
份 验证 的 远程 桌面 的 计算 机 连接 (更 安全 ) ”选项 ， 则 至 少 需要 
Windows Vista( 及 其 以 后 版 本 如 Windows 7、Windows Server | 
2008 ) 操作 系统 的 计算 机 , 才能 连接 到 该 计算 机 。 可 以 根据 情况 ， he 
选择 是 否 开启 远程 桌面 、 开 启 何 种 版 本 的 远程 桌面 ， 如 图 2-50 EE 
所 示 。 


Cue ] ms 区 本 
2.5.4 高 级 系统 设置 图 2-50 远程 桌面 


在 “系统 属性 ”对 话 框 中 ， 打 开 “ 高 级 ”选项 卡 ， 进 入 “高 级 系统 设置 ”页 面 ， 如 图 2-51 所 
示 ， 在 此 可 以 调整 视觉 效果 、 虚 拟 内 存 、 用 户 配置 文件 、 启 动 和 故障 恢复 、 环 境 变量 等 。 


0 在 “性 能 ”选项 组 中 ， 单 击 “ 设 置 ” 按 钮 ， 进 入 “性 能 选项 ”对 话 框 ， 在 “视觉 效果 ” 
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选项 卡 中 ， 选 择 想 在 此 计算 机 上 使 用 的 Windows 外 观 和 性 能 设置 。 对 于 服务 器 操作 系统 来 说 ， 获 
得 最 好 的 性 能 是 首选 ， 所 以 ， 可 以 选中 “调整 为 最 佳 性 能 ”， 如 图 2-52 所 示 。 如 果 是 Windows 7 
操作 系统 ， 则 可 以 选择 “调整 为 最 佳 外 观 ”， 或 者 选择 “让 Windows 选择 计算 机 的 最 佳 设置 ” 
也 可 以 选择 “ 自 定义 ”， 并 在 “ 自 定 义 ”列表 中 选择 需要 的 每 一 个 效果 。 


图 2-51 高 级 系统 设置 图 2-52 视觉 效果 
tO3 在 “高 级 ”选项 卡 中 ， 在 “处 理 器 计划 ”选项 组 中 ， 选 择 分 配 处 理 器 资源 是 为 “程序 ” 
还 是 “后 台 服 务 ” 进 行 优化 。 在 “虚拟 内 存 ” 选 项 组 中 单 击 “ 更 改 ” 按 钮 打开 “虚拟 内 存 ” 对 话 
框 ， 默认 情况 是 “自动 管理 所 有 驱动 器 的 分 页 文件 大 小 ”( 系统 自动 管理 ) 。 如 果 想 自己 设置 ， 可 
以 取消 这 一 项 设置 ,并且 选中 当前 系统 的 每 个 分 区 ， 进 行 设置 ， 这 可 以 在 “ 自 定义 大 小 ”、“ 系 统 
管理 的 大 小 ”、“ 无 分 布 文 件 ” 三 者 之 间 进 行 选择 ， 如 图 2-53 所 示 。 
03) 在 图 2-51 所 示 的 对 话 框 中 ,在 “用 户 配 置 文 件 ” 选 项 组 中 ,， 单 击 “ 设 置 ” 按钮， 打开 “用 
户 配 置 文 件 ” 对 话 框 ， 在 此 可 以 更 改 配置 文件 类 型 (漫游 配置 文件 、 本 地 配置 文件 ) ，“ 删 除 ”不 
使 用 的 配置 文件 ， 或 者 将 现 有 的 配置 文件 复制 到 其 他 用 户 ， 如 图 2-54 所 示 。 
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Eslswal 
图 2-53 处理 器 计划 与 虚拟 内 存 图 2-54 用 户 配置 文件 
io 纪 在 图 2-51 所 示 的 对 话 框 中 ， 在 “启动 和 故障 恢复 ”选项 组 中 ， 单 击 “设置 ”按钮 ， 打 开 
“启动 和 故障 恢复 ”对 话 框 ， 在 此 可 以 设置 “系统 启动 ”选项 ， 如 果 有 多 个 系统 ， 可 以 选择 “默认 
启动 ”的 操作 系统 ， 或 者 选中 “显示 操作 系统 列表 的 时 间 ”、“ 在 需要 时 显示 恢复 选项 的 时 间 ” 复 
选 框 , 在 “系统 失败 ”选项 组 中 , 取消 “自动 重新 启动 ” 选项 , 在 “ 写 入 调试 信息 ”列表 中 选择 “无 ”， 


*52. 
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如 图 2-55 所 示 。 


05 在 图 2-51 所 示 的 对 话 框 中 ， 单 击 “ 环 境 变量 ”按钮 ， 打 开 “ 环 境 变量 ” 


对 话 框 ， 在 此 可 
以 设置 用 户 或 系统 的 “变量 ”， 如 图 2-56 所 示 。 
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图 2-55 ”启动 和 故障 恢复 图 2-56 ”环境 变量 


2.5.5 ”Windows Update 驱动 程序 设置 


在 “系统 属性 ”对 话 框 中 , 打开 “硬件 ”选项 卡 , 可 以 看 到 “设备 管理 器 ”与 “Windows Update 
驱动 程序 设置 ”设置 项 ， 单 击 “Windows Update 驱动 程序 设置 ”按钮 ， 弹 出 “Windows Update 驱 
动 程序 设置 ”对 话 框 。 当 系统 安装 (或 连接 ) 一 个 新 设备 时 ， 如 果 当 前 系统 没有 安装 该 设备 的 驱动 
程序 ， 想 让 Windows Update 查找 匹配 的 驱动 程序 ， 推 荐 选择 “自动 检查 驱动 程序 ”， 系 统 会 自动 
连接 到 网 络 查找 驱动 程序 并 下 载 、 安 装 ， 如 图 2-57 所 示 。 
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2-57 Windows Update 驱动 程序 设置 


该 项 功能 在 Windows Server 2003 中 已 经 提供 ， 但 在 以 前 的 版 本 中 ， 即 使 是 通过 Windows Update 也 


经 常 不 能 检查 到 合适 的 驱动 程序 -从 Windows Vista 开始 ,Microsoft 改进 了 这 项 功能 ,提高 了 通过 Windows 
Update 安装 程序 的 成 功率 。 
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2.5.6 ”计算 机 名 


在 “系统 属性 ”对 话 框 中 ， 打 开 “ 计 算 机 名 ”选项 卡 ， 可 以 修改 计算 机 的 名 称 、 是 否 将 计算 
机 加 入 到 域 或 工作 组 ,或 者 修改 “计算 机 描述 ”信息 ， 如 图 2-58 所 示 。 在 系统 属性 设置 完成 之 后 ， 
单 击 “ 确 定 ” 按 钮 退出 ， 如 果 修 改 了 虚拟 内 存 或 计算 机 名 称 ， 系 统 会 提示 重新 启动 ， 如 图 2-59 
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必须 重新 启动 计算 机 以 应 用 这 些 更 改 
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图 2-58 计算 机 名 图 2-59 提示 重新 启动 计算 机 


2.6 计算 机 管理 


如 果 2-60 所 示 ，“ 计 算 机 管理 ”包括 “系统 工具 ”、“ 存 储 ”、“ 服 务 和 应 用 程序 ”三 部 分 。 
其 中 “系统 工具 ”包括 “任务 计划 程序 ”、“ 事 件 查 看 器 ”、“ 共 享 文件 夹 ”"”、“ 本 地 用 户 和 组 ”、 
“可 靠 性 和 性 能 ”、“ 设 备 管理 器 ”等 组 件 (或 功能 ) ; “存储 ”管理 主要 是 指 “ 磁 盘 管 理 ”; “ 服 
务 和 应 用 程序 ”包括 “路 由 和 远程 访问 ”、“ 服 务 ”、“WMI 控制 ”三 部 分 内 容 。“ 计 算 机 管理 ” 
中 组 件 比较 多 ， 我 们 将 介绍 常用 的 部 分 。 
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图 2-60 计算 机 管理 
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2.6.1 任务 计划 程序 


在 “任务 计划 程序 ”中 ， 可 以 创建 (或 管理 ) 计算 机 在 指定 的 时 间 自 动 执行 的 常见 任务 。 单 击 
“系统 工具 一 任务 计划 程序 ， 在 窗 体 右 侧 的 “操作 ”列表 中 选择 “创建 基本 任务 ”或 “创建 任务 ” 
都 可 以 创建 任务 计划 程序 。 这 两 者 的 区 别 是 :“ 创 建 基本 任务 ”是 采用 向 导 的 方式 创建 任务 计划 程 
序 ， 而 “创建 任务 ” 则 是 采用 对 话 框 的 方式 创建 任务 计划 程序 ， 两 者 创建 的 任务 程序 都 可 以 完成 相 
同 的 任务 及 操作 。 在 本 例 中 ， 使 用 后 者 来 介绍 。 


1 刚 用 鼠标 右 击 “任务 计划 程序 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 任务 ”， 如 图 2-61 所 示 。 


2-61 创建 任务 


四 2 在 “常规 ”选项 卡 中 ， 在 “姓名 ”文本 框 中 ， 输 入 创建 的 任务 的 名 称 ， 在 “描述 ”文本 
框 中 ,输入 当前 新 建 任务 的 描述 信息 ,在 “创建 者 ”后 面 列 出 了 系统 当前 的 登录 用 户 (也 即 任务 的 
“创建 者 ”) ， 如 果 要 更 改 任务 的 运行 账户 ， 可 以 单 击 “更 改 用 户 或 组 ”按钮 进行 设置 。 在 “安全 
选项 ”中 ， 如 果 选 择 “ 只 在 用 户 登 录 时 运行 ”， 则 当前 的 操作 系统 只 有 在 登录 进入 系统 之 后 才能 运 
行 该 任务 ; 如 果 选 择 “ 不 管用 户 是 否 登 录 都 要 运行 ”， 则 不 管 当前 系统 是 否 登 录 ， 都 会 运行 ， 如 
图 2-62 所 示 。 


图 2-62 常规 
四 3 在 “触发 器 ”选项 卡 中 ， 单 击 “ 新 建 ”按钮 ， 选 择 触发 该 任务 的 条 件 。“ 开 始 任务 ”的 
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条 件 可 以 是 “制定 计划 时 ”、“ 登 录 时 ”、“ 启 动 时 ”、“ 空 闲 状 态 ”、“ 发 生 事件 时 ”、“ 创 建 
/修改 任务 时 ”、“ 当 连接 到 用 户 会 话 时 ”、“ 当 从 用 户 会 话 断 开 连接 时 ”、“ 工 作 站 锁定 时 ”、 
“工作 站 解锁 时 ”， 如 图 2-63 所 示 。 

在 选 定 “ 开 始 任务 ”的 时 刻 后 ， 在 “设置 ”选项 组 中 ， 选 择 任务 的 执行 频率 可 以 是 一 次 、 每 
天 、 每 周 、 每 月 ， 或 者 指定 的 日 期 和 时 间 ) ， 在 “高 级 设置 ”选项 组 中 ， 设 置 任务 的 延迟 时 间 、 寻 
复 任务 间隔 、 停 止 运行 条 件 、 过 期 日 期 等 ， 如 图 2-64 所 示 。 
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图 2-63 开始 任务 的 触发 器 图 2-64 ”触发 器 


如 果 当 前 创建 的 任务 计划 和 暂时 不 起 作用 ， 可 以 取消 “启用 ”选项 ， 这 样 任务 将 不 会 生效 。 


to 级 在 “操作 ”选项 卡 中 ， 选 择 启动 任务 时 要 执行 的 操作 ， 这 可 以 是 “启动 程序 ” (启动 一 
个 程序 或 批 处 理 ) 、“ 发 送 电子 邮件 ” (向 指定 的 邮箱 发 送 电子 邮件 ) 或 “显示 消息 ” (在 当前 计 
算 机 屏幕 上 显示 一 个 消息 ) ， 如 图 2-65 所 示 。 

tog 在 “条 件 ”选项 卡 中 ， 指 定 用 于 与 触发 器 一 起 判断 是 否 应 该 运行 该 任务 的 条 件 ， 如 果 这 
里 指定 的 任务 不 为 “ 真 ”， 则 该 任务 不 会 运行 。 这些 条 件 可 以 是 “ 仅 当 计算 机 空闲 时 间 超过 下 列 值 
时 才 启 动 此 任务 ”、“ 只 有 在 计算 机 使 用 交流 电源 时 才 启 动 此 任务 ”、“ 只 有 在 以 下 网 络 连接 可 用 
时 才 启 动 ” 等 ， 如 图 2-66 所 示 。 这 些 可 根据 情况 进行 选择 。 


图 2-65 任务 操作 图 2-66 条 件 
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iog 在 “设置 ”选项 卡 ， 设 置 影响 任务 的 其 他 设置 ， 这 包括 “允许 按 需 运行 任务 ”、“ 如 果 
过 了 计划 开始 操作 ， 立 即 启动 任务 ”、“ 如 果 任 务 失败 ， 按 以 下 频率 重新 启动 ”、“ 如 果 任务 运行 
时 间 超 过 以 下 时 间 ， 停 止 任务 ”、“ 如 果 请 求 后 任务 还 在 运行 ， 强 行将 其 停止 ”、“ 如 果 任 务 没有 
计划 再 次 运行 ， 则 在 此 之 后 删除 该 任务 ”等 ， 如 图 2-67 所 示 。 


图 2-67 设置 


在 图 2-67 所 示 的 对 话 框 中 ， 可 以 选中 相应 的 设置 ， 并 设置 相应 的 时 间或 次 数 。 设 置 好 任务 之 


后 ， 单 击 “ 确 定 ”按钮 。 

创建 好 任务 之 后 ， 单 击 “系统 工具 一 任务 计划 程序 一 任务 计划 程序 库 ”， 可 以 看 到 创建 的 任 
务 ， 用 鼠标 右键 单 击 ， 可 以 选择 “运行 一 直接 运行 任务 ”、“ 结 束 一 结束 运行 的 任务 ”、“ 禁 用 一 
停 用 任务 ”、“ 导 出 一 导出 任务 设置 ”、“ 属 性 一 打开 任务 属性 对 话 框 ， 修 改 或 配置 任务 ”、“ 删 
除 一 删除 任务 ”， 如 图 2-68 所 示 。 


2-68 ”任务 属性 


2.6.2 ”配置 操作 系统 的 自动 登录 


在 图 2-62 所 示 的 对 话 框 中 ， 如 果 选 中 “只 在 用 户 登 录 时 运行 ” 则 该 任务 需要 在 系统 登录 之 后 
才能 运行 。 如 果 服 务 器 重新 启动 ， 是 不 能 自动 登录 进入 系统 的 ， 此 时 该 任务 将 不 会 运行 。 如 果 让 服 
务 器 重新 启动 之 后 ， 自 动 以 管理 员 账户 〈Administrator) 登录 ， 则 可 以 按照 如 下 操作 进行 配置 。 


ti 和 打开 “运行 ”对 话 框 ， 输 入 “control userpasswords2”， 如 图 2-69 所 示 。 
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四 有 2 在 弹出 的 “用 户 账户 ”对 话 框 中 ， 取 消 “ 要 使 用 本 地 ， 用 户 必 须 输入 用 户 名 和 密码 ”的 
选项 ， 在 弹出 的 “自动 登录 ”对 话 框 中 ， 输 入 管理 员 账户 的 密码 ， 然 后 单 击 “ 确 定 ”按钮 ， 完 成 设 
置 ， 如 图 2-70 所 示 。 


图 2-69 运行 命令 图 2-70 自动 登录 设置 
经 过 这 样 设置 ， 可 以 自动 登录 系统 。 
2.6.3 ”事件 查看 器 


“事件 查看 器 ”是 一 个 Microsoft 管理 控制 台 (MMC) 的 管理 单元 ， 可 以 用 于 浏览 和 管理 事件 
日 志 。 当 系统 出 现 问题 时 ， 除 了 按照 自己 的 习惯 、 方 式 分 析 、 判 断 发 生 的 原因 以 解决 之 外 ， 还 可 以 
通过 “事件 查看 器 ”查看 系统 的 运行 状态 ， 以 及 在 出 现 问题 时 ， 查 看 系统 提供 的 解决 方案 。 

在 “计算 机 管理 一 系统 工具 一 事件 查看 器 ”中 ， 可 以 查看 “应 用 程序 ”、“ 安 全 ”、“Setup”、 
“系统 ”、“ 转 发 的 事件 ”等 Windows 日 志 ， 还 可 以 查看 某 些 应 用 程序 和 服务 日 志 。 如 果 想 要 查 
看 某 个 事件 的 详细 记录 ， 可 以 双击 一 个 日 志 进行 查看 ， 如 图 2-71 所 示 。 如 果 要 查看 系统 提供 的 解 
决 方法 (或 者 事件 的 产生 原因 ) 等 ， 可 以 单 击 “ 事 件 日 志 联机 帮助 ”链接 ， 系 统 会 使 用 浏览 器 连接 
到 Microsoft 公司 专门 为 “事件 查看 器 ”创建 的 网 站 ， 打 开 该 事件 对 应 解决 方法 的 记录 。 


2-71 事件 查看 器 
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在 图 2-71 所 示 的 对 话 框 中 ， 查 看 完 一 个 事件 之 后 ， 可 以 通过 单 击 “1 ”、“ | ”按钮 ， 浏 览 
查看 上 一 个 、 下 一 个 事件 的 详细 信息 。 也 可 以 单 击 “ 关 闭 ” 按 钮 ， 关 闭 选中 的 事件 。 


2.6.4 ”共享 文件 夹 


可 以 使 用 “共享 文件 夹 ”管理 单元 集中 管理 计算 机 上 的 文件 共享 。 共 享 文 件 夹 允 许 创建 文件 共 
享 和 设置 权限 ， 查 看 和 管理 打开 的 文件 以 及 连接 到 计算 机 上 文件 共享 的 用 户 。 


io0 凤 在 “共享 文件 夹 一 共享 ”选项 中 ， 可 以 创建 共享 、 删 除 共享 ， 或 者 选中 一 个 共享 ， 修 改 
共享 权限 ， 如 图 2-72 所 示 。 

四 2 在 “共享 文件 夹 一 会 话 ” 选 项 中 ， 可 以 查看 是 否 有 用 户 连接 到 该 计算 机 ， 如 果 有 用 户 连 
接 到 该 计算 机 ， 会 显示 客户 端 计算 机 的 名 称 、 连 接 的 用 户 名 、 打 开 的 文件 数量 、 连 接 时 间 、 空 闲 时 
间 等 ， 可 以 用 鼠标 右 击 选 中 一 个 打开 的 文件 ， 关 闭 打开 的 连接 ， 如 图 2-73 所 示 。 


ET 
FT 于 


Er 
和 师 | 古 下 | | 
9 


图 2-72 共享 图 2-73 会 话 


iQ3 在 “共享 文件 夹 一 打开 文件 ”中 ， 显 示 了 连接 到 该 计算 机 提供 的 共享 ， 并 通过 共享 文件 
夹 使 用 中 的 文件 ， 也 可 以 选中 打开 的 文件 ， 在 右键 菜单 中 ， 关 闭 这 些 打 开 的 文件 ， 如 图 2-74 所 示 。 


2-74 打开 文件 


2.6.5 ”其 他 组 件 


“计算 机 管理 ”还 包括 “可 靠 性 和 性 能 ”、“ 设 备 管理 器 ”、“ 磁 盘 管 理 ”、“ 服 务 ”、“ 路 
由 和 远程 访问 服务 ”等 组 件 ， 下 面 简要 介绍 。 

(1) 可 以 使 用 “可 靠 性 和 性 能 ”监视 器 实时 检查 影响 计算 机 性 能 运行 程序 的 因素 ， 并 通过 收 
集 日 志 数 据 供 以 后 分 析 使 用 。 “可 靠 性 和 性 能 ”包括 “监视 工具 ”、“ 数 据 收 集 器 集 ”、“ 报 告 
三 组 程序 。 其 中 “监视 工具 ”包括 “性 能 监视 器 ”和 “可 靠 性 监视 器 ”。Windows 可 靠 性 和 性 能 
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监视 器 使 用 时 合并 进 了 数据 收集 器 集 的 性 能 计数 器 、 事 件 跟踪 数据 和 配置 信息 。 可靠 性 和 性 能 管理 
界面 如 图 2-75 所 示 。 


图 2-75 可 靠 性 和 性 能 


(2) “设备 管理 器 ”组 件 的 内 容 请 参考 “2.5.2 设备 管理 器 ”。 
(3) “磁盘 管理 ”中 ， 可 使 用 此 版 本 的 Windows 中 的 磁盘 管理 来 执行 与 磁盘 相关 的 任务 ， 
如 创建 、 格 式 化 分 区 和 卷 ， 以 及 分 配 驱动 器 号 。 另 外 ， 可 以 使 用 DiskPart 命令 和 其 他 命令 行 实用 
工具 来 执行 磁盘 管理 任务 。 有 关 “ 磁 盘 管 理 ” 的 内 容 ， 将 在 后 面 的 章节 单独 介绍 。 
(4) Windows Server 2008 中 的 “路 由 和 远程 访问 ”服务 使 用 虚拟 专用 网 络 (VPN) 或 拨号 
连接 支持 远程 用 户 连接 或 站 点 间 连 接 。“ 路 由 和 远程 访问 ”包含 下 列 组 件 。 
@ 远程 访问 : 远程 访问 功能 提供 VPN 服务 , 使 用 户 可 以 通过 Internet 访问 公司 网 络 ， 如 同 
他 们 直接 连接 到 公司 网 络 上 。 远程 访问 还 允许 使 用 拨号 通信 和 链 路 的 远程 工作 人 员 或 流动 工 
作 人 员 访 问 公司 网 络 。 
@ 路 由 : “路 由 和 远程 访问 ”是 用 于 路 由 和 联网 的 一 个 全 功能 软件 路 由 器 和 开放 平台 ， 为 局 
域 网 (LAN ) 和 广域网 (WAN ) 环境 中 的 公司 提供 路 由 服务 ， 或 使 用 安全 的 VPN 连接 
通过 Internet 提供 路 由 服务 。 路 由 用 于 多 协议 LAN-to-LAN、LAN-to-WAN、VPN 和 网 
络 地 址 转换 (NAT ) 服务 。 


(5) 可 以 使 用 “服务 ”管理 单元 管理 在 本 地 或 远程 计算 机 上 运行 的 服务 ， 如 停止 或 启动 服务 ， 
如 图 2-76 所 示 。 也 可 以 使 用 sc config 命令 管理 服务 。 
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2-76 服务 


“本 地 用 户 和 组 ”管理 控制 台 用 于 创建 并 管理 存储 在 本 地 计算 机 上 的 用 户 和 组 。“ 本 地 用 户 ” 
和 “本 地 用 户 组 ”位 于 “计算 机 管理 ”中 ， 用户 可 以 使 用 这 一 组 管理 工具 来 管理 单 台 本 地 或 远程 计 
算 机 。 可 以 使 用 本 地 用 户 和 组 保护 并 管理 存储 在 本 地 计算 机 上 的 用 户 账户 和 组 。 可 以 在 特定 计算 机 
上 《只 能 是 这 台 计算 机 分配 本 地 用 户 账户 或 组 账户 的 权限 和 权利 。 

通过 本 地 用 户 和 组 ， 可 以 为 用 户 和 组 分 配 权利 和 权限 ， 从 而 限制 用 户 和 组 执行 某 些 操作 的 能 
力 。 权 限 可 授权 用 户 在 计算 机 上 执行 某 些 操作 ， 如 备份 文件 和 文件 夹 或 者 关机 。 权 限 是 与 对 象 ( 通 
常 是 文件 、 文件 夹 或 打印 机 ) 相关 联 的 一 种 规则 ， 它 规定 哪些 用 户 可 以 访问 该 对 象 以 及 以 何 种 方式 
访问 。 简 单 来 说 ， 用 户 与 用 户 组 的 功能 与 用 途 如 下 。 

(1) 单独 的 “用 户 ” 或 “组 ”没有 意义 。 只 有 将 “用 户 ” 或 “组 ”与 “资源 ”进行 “ 绑 定 ” 
时 才 有 意义 。 这 里 面 的 “资源 ”， 可 以 是 作为 服务 器 端 所 属 计算 机 上 的 设备 ， 如 以 共享 文件 夹 方式 
提供 的 磁盘 空间 ， 或 者 打印 机 “共享 打印 机 ”。 

(2) 在 分 配 资源 或 者 配置 资源 的 属性 时 ， 可 以 根据 不 同 的 “用 户 ” 或 “组 ”设置 不 同 的 权限 ， 
如 “ 读 ”、“ 写 ”、“ 完 全 控制 ”等 权限 。 

(3) 在 使 用 “本 地 用 户 ” 或 “本 地 组 ”的 计算 机 时 ， 它 们 之 间 采 用 的 是 “对 等 网 ”的 网 络 方 
式 。 所 谓 “ 对 等 网 ”， 是 指 网 络 中 的 计算 机 ， 没 有 提供 统一 身份 验证 的 服务 器 ， 用 户 想 要 访问 哪个 
设备 ， 就 需要 有 对 方 提供 的 用 户 名 及 对 应 的 密码 。 例 如 ， 网 络 中 有 A、B、C 三 台 计 算 机 ， 如 果 C 
要 访问 (或 使 用 ) A、B 提供 的 资源 ， 则 C 就 需要 有 A、B 所 提供 的 用 户 名 及 对 应 的 密码 。 当 然 ， 
对 于 人 A 或 B 来 说 ,为 C 提供 的 用 户 名 或 密码 ， 可 以 相同 ， 也 可 以 不 同 。 在 “对 等 网 ”之 间 ， 网 络 
关系 是 “ 单 向 ”的 。 例 如 ， 在 上 例 中 ，A、B 为 C 提供 资源 ， 如 果 A 想 要 访问 B，B 也 必须 为 A 
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提供 对 应 的 访问 用 户 名 及 密码 。 

对 等 网 能 提供 的 访问 资源 、 性 能 是 有 限 的， 在 “对 等 网 ”中 ， 每 个 提供 服务 的 “服务 端 ”， 
最 多 允许 10 个 客户 同时 访问 。 从 本 质 上 来 说 ， 对 等 网 ， 是 一 个 比较 简单 的 、 适 合 小 范围 局 域 网 使 
用 的 网 络 ， 它 们 的 关系 也 是 简单 的 “二 层 ” 关 系 : 网 络 资源 与 “用 户 ” 或 “组 ”相对 应 ， 并 对 “用 
户 ” 与 “组 ”设置 不 同 的 权限 。 


所 有 的 Windows 95 及 其 以 后 的 Windows 操作 系统 ， 无 论 是 服务 器 操作 系统 还 是 工作 站 操作 系统 ， 


都 可 以 做 “对 等 网 ”的 服务 器 端 或 客户 端 ， 并 不 仅 限于 Windows Server 2003、Windows Server 2008 等 服 
务 器 操作 系统 。 


2.7.1 默认 本 地 用 户 账户 概述 


“本 地 用 户 和 组 ”管理 单元 中 的 “用 户 ” 文 件 夹 显示 默 认 的 用 户 账户 以 及 创建 的 用 户 账户 。 这 
些 默 认 的 用 户 账 户 是 在 安装 操作 系统 时 自动 创建 的 。 表 2-2 描述 了 显示 在 本 地 用 户 和 组 中 的 每 个 默 
认 用 户 账户 。 


表 2-2 系统 默认 用 户 账户 
默认 用 户 账户 描述 
对 于 Windows 7、Windows Vista 等 操作 系统 来 说 ， 在 默认 情况 下 ，Administrator 账户 处 于 禁用 状态 ， 
但 也 可 以 启用 它 。 当 它 处 于 启用 状态 时 ，Administrator 账户 具有 对 计算 机 的 完全 控制 权限 ， 并 可 以 
根据 需要 向 用 户 分 配 用 户 权 利和 访问 控制 权限 。 该 账户 必须 仅 用 于 需要 管理 凭据 的 任务 。 强 烈 建议 
将 此 账户 设置 为 使 用 强 密码 
Administrator 账户 是 计算 机 上 Administrators 组 的 成 员 。 不 可 以 从 Administrators 组 删除 
Administrator 账户 ,但 可 以 重 命名 或 禁用 该 账户 。 由 于 大 家 都 知道 Administrator 账户 存在 于 许多 版 
本 的 Windows 上 ， 所 以 重 命名 或 禁用 此 账户 将 使 恶意 用 户 尝试 并 访问 该 账户 变 得 更 为 困难 
即使 已 禁用 了 _Administrator 账户 ， 仍 然 可 以 在 安全 模式 下 使 用 该 账户 访问 计算 机 
Guest 账户 由 在 这 人 台 计 算 机 上 没有 实际 账户 的 人 使 用 。 如 果 某 个 用 户 的 账户 已 被 禁用 ， 但 还 未 删除 ， 
那 该 用 户 也 可 以 使 用 Guest 账户 。Guest 账户 不 需要 密码 。 默 认 情况 下 ，Guest 账户 是 禁用 的 ， 但 
也 可 以 启用 它 
可 以 像 任何 用 户 账户 一 样 设置 Guest 账户 的 权利 和 权限 。 默 认 情况 下 ，Guest 账户 是 默认 的 Guest 
组 的 成 员 ， 该 组 允许 用 户 登录 计算 机 。 其 他 权利 及 任何 权限 都 必须 由 Administrators 组 的 成 员 授予 
Guests 组 。 默 认 情 况 下 将 禁用 Guest 账户 ， 并 且 建 议 将 其 保持 禁用 状态 


Administrator 账户 


Guest 账户 


2.7.2 默认 本 地 组 概述 


“本 地 用 户 和 组 ”管理 控制 台中 的 “组 ”文件 夹 默 认 显示 本 地 组 以 及 创建 的 本 地 组 。 默 认 本 
地 组 是 在 安装 操作 系统 时 自动 创建 的 。 如 果 一 个 用 户 属于 某 个 本 地 组 , 则 该 用 户 就 具有 在 本 地 计算 
机 上 执行 各 种 任务 的 权利 和 能 力 。 可 以 向 本 地 组 添加 本 地 用 户 账户 、 域 用 户 账户 、 计 算 机 账户 以 及 
组 账户 。 

表 2-3 提供 了 对 位 于 组 文件 夹 中 的 默认 组 的 描述 。 此 表 也 列 出 了 每 个 组 的 默认 用 户 权利 ， 这 些 
用 户 权利 是 在 本 地 安全 策略 中 分 配 的 。 
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表 2-3 系统 默认 本 地 组 
组 撕 玉 默认 用 户 权利 
从 网 络 访问 此 计算 机 
调整 进程 的 内 存 配额 
允许 本 地 登录 
允许 通过 终端 服务 登录 
备份 文件 和 目录 
跳 过 遍历 检查 
更 改 系统 时 间 
更 改 时 区 
创建 页 面 文件 
创建 全 局 对 象 
此 组 的 成 员 具 有 对 计算 机 的 完全 控制 权限 ， 并 且 他 们 可 以 pr 
根据 需要 向 用 户 分 配 用 户 权 利和 访问 控制 权限 。 | 办 计 程 统 强制 关 机 
Administrators Administrator 账户 是 此 组 的 默认 成 员 。 当 计算 机 加 入 域 中 身份 验证 后 模拟 客户 端 
时 ，Domain Admins 组 会 自动 添加 到 此 组 中 。 因 为 此 组 可 | 提高 日 各 安排 的 优先 级 
以 完全 控制 计算 机 ， 所 以 向 其 中 添加 用 户 时 要 特别 江 慎 。 | 装 名 和 甸 夫 设备 双开 程 央 
作为 批 处 理 作业 登录 
管理 审核 和 安全 日 志 
修改 固件 环境 变量 
执行 卷 维护 任务 
配置 单一 进程 
配置 系统 性 能 
从 扩展 坞 中 取出 计算 机 
还 原文 件 和 目录 
关闭 系统 
获得 文件 或 其 他 对 象 的 所 有 权 
从 网 络 访问 此 计算 机 
允许 本 地 登录 
此 组 的 成 员 可 以 备份 和 还 原 计算 机 上 的 文件 ， 而 不 管 保护 | 备份 文件 和 目录 
Backup Operators 这 些 文件 的 权限 如 何 。 这 是 因为 执行 备份 任务 的 权利 要 高 | 跳 过 遍历 检查 
于 所 有 文件 权限 。 此 组 的 成 员 无 法 更 改 安全 设置 作为 批 处 理 作业 登录 
还 原文 件 和 目录 
关闭 系统 
人 已 授 权 此 组 的 成 员 执行 加 密 操作 没有 默认 的 用 户 权利 
Distributed COM Users ON 没有 默认 的 用 户 权利 
该 组 的 成 员 拥有 一 个 在 登录 时 创建 的 临时 配置 文件 ， 在 注 
Guests 销 时 ， 此 配置 文件 将 被 聘 除 。 来 宾 账 户 默认 情 况 下 已 禁 | 没有 默认 的 用 户 权利 
用 ) 也 是 该 组 的 默认 成 员 
IIS_IUSRS 这 是 Intemet 信息 服务 〈IIS) 使 用 的 内 置 组 没有 默认 的 用 户 权利 
Network Configuration | 该 组 的 成 员 可 以 更 改 TCP/IP 设置 ， 并 且 可 以 更 新 和 发 布 | 、 
Operators TCP/IP 地 址 。 该 组 中 没有 默认 的 成 员 lei 
该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 端 管理 性 能 计数 | 、，。、 
了 Performance Log Users 器 、 日 志和 警报 ， 而 不 用 成 为 Administrators 组 的 成 员 没有 默认 的 用 户 权 利 
Doonan Molar | 该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 消 监 视 性 能 计数 | 
seis 器 ， 而 不 用 成 为 Administrators 组 或 Performance Log | 没有 默认 的 用 户 权 利 


Users 组 的 成 员 
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( 续 表 ) 


组 描述 默认 用 户 权 利 
默认 情况 下 ， 该 组 的 成 员 拥 有 不 高 于 标准 用 户 账户 的 用 户 
权利 或 权限 。 在 早期 版 本 的 Windows 中 ，Power Users 组 
专门 为 用 户 提供 特定 的 管理 员 权利 和 权限 ， 执 行 常见 的 系 
统 任务 。 在 此 版 本 Windows 中 , 标准 用 户 账户 具有 执行 最 
Power Users 常见 配置 任务 的 能 力 ， 例 如 更 改 时 区 。 对 于 需要 与 早期 版 | 没有 默认 的 用 户 权 利 
本 的 Windows 相同 的 Power User 权利 和 权限 的 旧 应 用 
程序 ， 管 理 员 可 以 应 用 一 个 安全 模板 ， 此 模板 可 以 启用 
了 Power Users 组 ， 以 假设 具有 与 早期 版 本 的 Windows 相同 
的 权利 和 权限 
Remote Desktop Users_| 该 组 的 成 员 可 以 远程 登录 计算 机 允许 通过 终端 服务 登录 


该 组 支持 复制 功能 。 Replicator 组 的 惟一 成 员 应 该 是 域 用 户 
Replicator 账户 ， 用 于 登录 域 控制 器 的 复制 器 服务 。 不 能 将 实际 用 户 | 没有 默认 的 用 户 权利 
的 用 户 账户 添加 到 该 组 中 


从 网 络 访问 此 计算 机 
该 组 的 成 员 可 以 执行 一 些 常见 任务 ， 例 如 运行 应 用 程序 、 | 允许 本 地 登录 

使 用 本 地 和 网 络 打印 机 以 及 锁定 计算 机 。 该 组 的 成 员 无 法 | 跳 过 遍历 检查 

共享 目录 或 创建 本 地 打印 机 。 默 认 情况 下 ，Domain Users、| 更 改 时 区 
Authenticated Users 以 及 Interactive 组 是 该 组 的 成 员 。 因 | 增加 进程 工作 集 

此 ， 在 域 中 创建 的 任何 用 户 账户 都 将 成 为 该 组 的 成 员 从 扩展 坞 中 取出 计算 机 
关闭 系统 


入 人 到 程 雪 助攻 助 程 】 放 gg 成员 可 以 向 此 计算 机 用 户 提供 运程 协 有 没有 默认 的 用 户 权利 
2.7.3 ”本 地 用 户 管理 


在 本 小 节 中 ， 我 们 介绍 在 Windows Server 2008 中 ， 管 理 “ 本 地 用 户 ” 的 方法 与 步骤 ， 包 括 旬 
建 “ 用 户 ” 删除 “用 户 ” 为 “用 户 ” 修 改 密码 、 将 用 户 加 入 到 “组 ”等 内 容 。 


LO 出 在 “计算 机 管理 ”中 ， 定 位 到 “系统 工具 一 本 地 用 户 和 组 一 用 户 ”， 在 右 侧 的 空白 窗 
格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 选 项 ， 如 图 2-77 所 示 ， 进 入 创建 用 户 向 
导 页 面 。 


Users 


2-77 新 用 户 
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log 在 弹出 的 “新 用 户 ”对 话 框 中 ， 输 入 用 户 名 、 全 名 、 描 述 、 密 码 等 信息 ， 并 且 根 据 需要 ， 
选择 创建 用 户 的 选项 。 其 中 “用 户 名 ”是 必须 输入 的 ， 其 他 可 以 为 空 或 保持 默认 值 。 在 选择 “用 户 
名 ”时 ， 推 荐 以 英文 的 字母 开头 ， 并 且 可 以 根据 需要 ， 使 用 下 划 线 、 短 横 线 、 数 字 等 信息 。 在 本 例 


创建 用 户 各 选项 意义 如 下 。 


2-78 创建 用 户 


@ ”如 果 选 中 “用 户 下 次 登录 时 须 更 改 密码 ”， 则 使 用 该 用 户 登 录 到 计算 机 (或 登录 到 网 络 ) ， 
或 者 通过 网 络 访问 该 服务 器 时 ， 则 需要 修改 密码 。 

e@。 如 果 选 中 “用 户 不 能 更 改 密码 ”， 则 用 户 不 能 修改 密码 。 

e。 ”如果 选中 “密码 永 不 过 期 ”， 则 该 用 户 密码 将 不 会 过 期 。 如 果 不 选中 本 项 ， 在 默认 情况 下 ， 
用 户 的 密码 将 会 在 42 天 后 过 期 。 


@ 如 果 选 中 “账户 已 禁用 ”， 


则 该 账户 将 不 能 使 用 。 


请 根据 需要 ， 输 入 创建 的 用 户 信息 ， 选 择 用 户 的 选项 ， 确 定之 后 ， 单 击 “ 创 建 ” 按 钮 。 


t@Q3j 创建 用 户 之 后 ， 可 以 输入 新 的 用 户 名 、 用 户 全 名 、 描 述 信息 、 密 码 ， 继 续 创建 用 户 ， 或 
者 单 击 “ 关 闭 ”按钮 ， 关 闭 “ 新 用 户 ” 对 话 框 ， 如 图 2-79 所 示 。 


04 关 


在 右 侧 列 表 中 


闭 “ 新 用 户 ” 对 话 框 后 ， 返 回 到 “计算 机 管理 一 系统 工具 一 本 地 用 户 和 组 一 用 户 ”， 
ph， 可 以 看 到 当前 系统 中 已 经 存在 的 用 户 。 如果 要 修改 用 户 的 选项 , 或 者 对 用 户 进行 操 


作 ， 可 以 用 鼠标 右 击 选中 用 户 ,在 弹出 的 对 话 框 中 ,根据 需要 选择 “删除 一 删除 选择 的 用 户 ”、“ 重 


命名 一 修改 用 户 名 ”、 
性 ”， 如 图 2-80 所 示 。 


四 steer 
二 


“设置 密码 一 修改 用 户 密码 ”或 “属性 -打开 用 户 属性 对 话 框 ， 修 改 用 户 属 


人 


Ee 


2-80 ”用户 操作 列表 
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99 如 果 要 为 用 户 修改 密码 ， 会 弹出 如 图 2-81 所 示 的 对 话 框 ， 单 击 “ 继 续 ” 按 钮 ， 在 弹出 的 
新 对 话 框 中 ， 为 用 户 修改 密码 即 可 ， 如 图 2- 


82 所 示 。 
EE 访 频 台 vi 新 宣 码 00: J] 
六 谢 密 吗 品 )- | 
Li 二 如 归 克 而 “确证 ”， 村 发 如 情史: 
六 有 加 客 的 文 御 ， 香 存 的 密码 和 
ne Ee 
a 加 位 弟 二 “取消 ”， 相 有 术 不 全 更 站 ,并且 六 不 全 天 妆 气 。 
[Ce mn | am | CE ww | 
2-81 继续 


图 2-82 设置 新 密码 
to@j 如 果 打开 用 户 属性 ,在 “隶属 于 ”选项 卡 中 ,可 以 将 用 户 添加 到 其 他 用 户 组 中 ， 单 击 “ 添 
加 ”按钮 ， 在 弹出 的 对 话 框 中 ， 单 击 “ 高 级 ”按钮 ， 如 图 2-83 所 示 。 

虽 此 时 “选择 组 ”对 话 框 将 更 改 为 图 2-84 所 示 的 页 面 ， 单 击 “ 立 即 查找 ”按钮 ， 系 统 将 浏 


览 当 前 计算 机 中 所 有 的 用 户 组 ， 并 在 “搜索 结果 ”中 显示 ， 可 以 选择 要 将 当前 用 户 加 入 到 的 组 ( 按 
住 Shift 或 Ctrl 键 并 用 鼠标 单 击 选择 一 个 或 多 个 组 ) ， 选 择 之 后 单 击 “ 确 定 ” 按 钮 。 


ED Wi 


we | wn | emw | ww | 


2-83 “选择 组 ”对 话 框 


图 2-84 选择 要 加 入 到 的 用 户 组 
tQ8j 随后 会 返回 到 “选择 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”列表 中 ， 显 示 了 图 2-84 中 
选中 并 添加 的 用 户 ， 如 图 2-85 所 示 。 单 击 “ 确 定 ”按钮 ， 完 成 选择 。 


EJ 
选择 此 X 宕 夫 型 G)- 
芹 Es 
查找 位 置 BE : 
运动) 到) 
es0as2 Povs Mao henote Beskter weard 夫 亚 儿科 多 ) 
ew | Cj 


2-85 选择 用 户 完成 


如 果 知 道 要 加 入 到 的 “组 ”， 可 以 直接 在 “输入 对 象 名 称 来 选择 ”列表 中 ， 输 入 要 添加 到 的 组 ， 如 
果 有 多 个 组 ， 可 以 用 英文 的 “分 号 ”分 隔 。 
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io9j 返回 到 “隶属 于 ”选项 卡 ， 可 以 看 到 添加 的 列表 ， 单 击 “ 确 定 ”按钮 返回 ， 完 成 添加 操 
作 ， 如 图 2-86 所 示 。 


Ix| 
iio | 了 可 


2-86 添加 组 


如 果 要 从 用 户 中 删除 用 户 组 ， 可 以 在 图 2-86 所 示 的 对 话 框 中 ， 选 中 要 删除 的 用 户 组 ， 然 后 单 击 “ 删 
除 ”按钮 即 可 。 


2.7.4 组 管理 
本 小 节 介 绍 “ 组 ”管理 的 内 容 ， 操 作 步 骤 如 下 。 


t@Q 出 在 “计算 机 管理 ”中 ， 定 位 到 “系统 工具 一 本 地 用 户 和 组 一 组 ”， 在 右 侧 的 空白 窗 格 中 
用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 组 ”， 如 图 2-87 所 示 ， 进 入 创建 用 户 向 导 页 。 


Er 
ke EAE ] 
| 
证 : 


图 2-87 新 建 组 

I02 在 弹出 的 “新 建 组 ”对 话 框 中 ， 输 入 “组 名 ” ( 必须 输入 ) ， 以 及 “描述 信息 ” (根据 
需要 输入 ) ， 在 创建 组 的 时 候 ， 如 果 要 向 组 中 添加 用 户 ， 可 以 单 击 “ 添 加 ”按钮 ， 选 择 要 添加 的 用 
户 。 设 置 之 后 单 击 “ 创 建 ” 按 钮 ， 如 图 2-88 所 示 。 
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图 2-88 创建 用 户 


tQ3j 与 “用 户 ”的 操作 类 似 ，“ 组 ”也 有 重 命名 、 删 除 、 修 改 属性 等 操作 ， 但 不 能 为 “组 ” 
设置 密码 。 可 以 在 “组 ”中 添加 多 个 “用 户 ”， 也 可 以 将 “用 户 ” 添 加 到 多 个 不 同 的 “组 ”， 用户 
与 组 是 “多 对 多 ”的 关系 。 在 “组 ”中 也 可 以 添加 其 他 “组 ”。 向 “组 ”中 添加 用 户 的 操作 如 图 
2-89 所 示 ， 这 与 向 “用 户 ”中 添加 “组 ”的 操作 类 似 。 


2-89 向 组 中 添加 用 户 


第 3 章 基本 网 络 服务 管理 


DHCP、DNS 是 网 络 中 最 基本 的 服务 ， 前 者 可 以 为 网 络 中 的 计算 机 或 其 他 网 络 设备 分 配 卫 地 
址 等 参数 ， 后 者 可 以 提供 域名 到 IP 地 址 的 解析 工作 。 而 WINS 则 是 Windows 网 络 所 特有 的 网 络 服 
务 ， 可 以 提供 从 NetBIOS 名 称 到 IP 地 址 的 解析 工作 。 

DHCP、DNS 和 WINS 服务 器 ， 都 是 典型 的 “客户 /服务 器 ”系统 〈 或 简称 C/S 系统 ) ， 包 括 
服务 器 端 和 客户 端 。 一 般 情况 下 ， 提 供 服 务 的 一 端 ， 是 服务 器 端 ， 而 需要 人 P 地 址 、 名 称 解析 的 一 
端 则 是 客户 端 。 

本 章 将 介绍 基于 Windows Server 2008 R2 中 DHCP、DNS 和 WINS 服务 器 的 内 容 ， 包 括 服务 
器 的 概述 、 安 装配 置 、 在 网 络 中 的 使 用 以 及 使 用 注意 事项 等 。 


3.1 DHCP 概述 


今 是 网 络 时 代 ， 单 位 中 的 计算 机 大 多 需要 连接 到 网 络 ， 这 就 需要 为 计算 机 设置 IP 地 址 、 子 

网 掩 码 、 网 关 地 址 和 DNS 地 址 ， 有 时 还 需要 设置 WINS 服务 器 地 址 。 当 网 络 中 有 几 十 台 甚 至 更 多 
台 计 算 机 时 ， 如 果 网 管 为 每 台 计 算 机 手动 设置 这 些 TCP/IP 地 址 及 其 参数 ， 对 网 管 来 说 将 是 极 大 的 
负担 。 这 时 候 就 需要 DHCP 服务 为 网 管 分 担 这 些 任 务 。 

DHCP (Dynamic Host Configure Protocol, 动态 主机 配置 协议 ) 服务 在 网 络 中 起 着 重要 的 作用 ， 
它 可 以 为 网 络 中 的 计算 机 自动 分 配 TCP/IP 地 址 、 子 网 掩 码 、 网 关 地 址 、DNS 地 址 和 WINS 服务 器 
地 址 等 参数 ， 使 用 DHCP 服务 器 ， 可 以 极 大 地 减轻 网 管 的 负担 。 

DHCP 是 一 种 他 标准 , 其 设计 目的 是 通过 集中 管理 网 络 上 使 用 的 瑟 地 址 和 相关 配置 细节 来 降 
低 管理 计算 机 网 络 中 地 址 配置 的 复杂 性 。Microsoft 公司 从 Windows NT Server 开始 提供 DHCP 服 
务 器 ， 可 以 为 网 络 上 的 计算 机 自动 分 配 于 地址 及 相关 参数 。 


3.1.1 使 用 DHCP 服务 的 好 处 


TCP/IP 网 络 上 的 每 台 计算 机 都 必需 有 惟一 的 下 地址 。 TP 地 址 (以 及 和 之 相关 的 子 网 掩 码 ) 可 
以 标识 主机 及 其 连接 的 子 网 。 如 果 将 计算 机 移动 到 不 同 的 子 网 ， 则 必需 更 改 卫 地 址 。DHCP 允许 
用 户 通 过 本 地 网 络 上 的 DHCP 服务 器 的 IP 地 址 数据 库 为 客户 端 动 态 指派 P 地 址 。 使 用 DHCP 管 
理 基 于 TCP/IP 的 网 络 具 有 以 下 几 大 优势 : 
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e@ ”安全 而 可 靠 的 配置 。 DHCP 避免 了 由 于 在 每 台 计算 机 上 进行 手动 配置 而 引起 的 错误 。 此 
外 , DHCP 还 可 以 防止 由 于 在 网 络 上 配置 新 的 计算 机 时 重用 已 指派 的 IP 地 址 而 引起 的 地 
址 冲突 。 

e@ 减少 配置 管理 。 如 果 手 动 设 定 网 络 中 每 台 计 算 机 的 IP 地 址 、 子 网 掩 码 、 网 关 地 址 、DNS 
地 址 、WINS 服务 器 地 址 等 参数 ， 将 占用 管理 员 大 量 的 时 间 。 而 使 用 DHCP 服务 器 可 以 大 
大 降低 用 于 配置 和 重新 配置 网 上 计算 机 的 时 间 。 

@ 为 需要 经 常 更 改 网 络 参数 的 用 户 提供 方便 。 使 用 笔记 本 办 公 或 频繁 更 改 位 置 的 用 户 ， 在 每 
次 更 换 位 置 后 ， 都 需要 重新 配置 上 网 参数 。 而 DHCP 租约 续 订 过 程 解决 了 这 个 问题 。 

e@ 在 采用 Windows 部 署 服务 (远程 安装 服务 ) 或 使 用 其 他 TFTP 服务 器 时 ，DHCP 服务 器 是 


3.1.2 DHCP 的 工作 原理 


本 节 通 过 一 台 计 算 机 自动 获取 人 P 地 址 的 过 程 ， 简 述 DHCP 的 工作 原理 。 
1. 寻找 DHCP 服务 器 


当 DHCP 客户 端 第 一 次 启动 网 络 组 件 时 ,如 果 客 户 端 发 现 本 机 上 没有 任何 也 地 址 等 相关 参数 ， 
它 会 向 网 络 上 发 出 一 个 DHCPDISCOVER 数据 包 。 这 个 数据 包 的 源 地 址 为 0.0.0.0， 而 目的 地 址 则 
为 255.255.255.255， 然 后 再 加 上 DHCPDISCOVER 的 信息 ， 向 整个 网 络 进行 广播 。 

在 Windows 的 预 设 情况 下 ，DHCPDISCOVER 的 等 待 时 间 预 设 为 1 秒 ， 也 就 是 当 客 户 端 将 第 
一 个 DHCPDISCOVER 包 送 出 去 之 后 ， 在 1 秒 内 如 果 没 有 得 到 回应 的 话 ， 就 会 进行 第 二 次 
DHCPDISCOVER 广播 。 如 果 一 直 得 不 到 回应 ， 客 户 端 将 在 16 秒 内 广播 4 次 DHCPDISCOVER。 
如 果 都 没有 得 到 DHCP 服务 器 的 响应 ,客户 端 会 显示 错误 信息 ,宣告 DHCPDISCOVER 发 送 失败 。 
此 时 ，DHCP 客户 端 会 从 169.254.0.1 一 169.254.255.254 自动 获取 一 个 地 址 ， 并 设置 子 网 掩 码 为 
255.255.0.0， 系 统 会 在 5 分 钟 之 后 再 重复 一 次 DHCPDISCOVER 的 过 程 。 


2. 提供 IP 租用 地 址 


当 DHCP 服务 器 收 到 客户 端 发 出 的 DHCPDISCOVER 广播 后 ， 它 会 从 可 用 地 址 中 选择 最 前 面 
的 也 ,连同 其 他 TCP/IP 设 定 (包括 子 网 掩 码 、 网 关 地 址 、DNS 地 址 、WINS 服务 器 地 址 等 参数 ) ， 
回应 给 客户 端 一 个 DHCPOFFER 包 。 
于 客户 端 在 开始 时 还 没有 他 地 址 ， 所 以 在 其 DHCPDISCOVER 包 内 会 带 有 其 MAC 地 址 信 
息 ， 并 且 有 一 个 XID 编号 来 辨别 该 包 。DHCP 服务 器 返回 的 DHCPOFFER 数据 包 则 会 根据 这 些 资 
料 传递 给 要 求 租用 的 客户 。 根 据 服务 器 端的 设 定 ，DHCPOFFER 包 会 包含 一 个 租约 期 限 的 信息 。 

3. 接受 IP 租约 

如 果 客 户 端 收 到 网 路 上 多 台 DHCP 服务 器 的 回应 ， 则 会 从 中 选择 一 个 DHCPOFFER (通常 是 
最 先 到 达 的 那个 ) ， 并 且 会 向 网 络 上 发 送 一 个 DHCPREQUEST 广播 数据 包 ， 告 诉 所 有 DHCP 服务 


器 它 将 指定 接受 哪 一 台 服 务 器 提供 的 他 地址 。 
同时 ， 客 户 端 还 会 向 网 络 发 送 一 个 ARP (Address Resolution Protocol， 地 址 解析 协议 ) 包 ， 查 


基本 网 络 服务 管理 ”第 3 党 


询 网 络 上 面 有 没有 其 他 机 器 使 用 该 PP 地址; 如 果 发 现 该 卫 已 经 被 占用 ， 客 户 端 则 会 送出 一 个 
DHCPDECLINE 数据 包 给 DHCP 服务 器 , 拒绝 接受 其 DHCPOFFER, 并 重新 发 送 DHCPDISCOVER 
信息 。 


4. 租约 确认 


当 DHCP 服务 器 接收 到 客户 端的 DHCPREQUEST 之 后 ， 会 向 客户 端 发 出 一 个 DHCPACK 回 
应 ， 以 确认 卫 租约 的 正式 生效 ， 也 就 结束 了 一 个 完整 的 DHCP 工作 过 程 。 

DHCP 服务 器 分 配 的 人 P 地 址 是 有 租约 限制 的 ， 默 认 情况 下 是 8 天 。DHCP 客户 端 在 其 租约 剩 
余 一 半 的 时 候 会 发 出 DHCPREQUEST， 如 果 此 时 得 不 到 DHCP 服务 器 确认 的 话 ， 工 作 站 还 可 以 使 
用 这 个 IP 地 址 。 当 在 租约 到 达 75% 时 ， 如 果 还 得 不 到 确认 的 话 ， 则 工作 站 就 会 放弃 使 用 此 地 址 ， 
开始 新 一 轮 的 申请 。 

DHCP 服务 器 是 以 广播 方式 进行 的 ， 这 就 需要 在 每 一 个 子 网 中 安装 一 台 DHCP 服务 器 。 如 果 
想 使 用 一 台 DHCP 服务 器 为 所 有 子 网 的 工作 站 分 配 人 P 地 址 ， 则 需要 在 每 个 子 网 中 配置 (或 安装 ) 
DHCP 中 继 服 务 器 。 现 在 的 三 层 交 换 机 都 支持 DHCP 中 继 。 


3.1.3 ”DHCP 服务 的 相关 概念 


在 学 习 使 用 DHCP 服务 器 的 过 程 中 ， 先 介绍 以 下 名 词 的 含义 。 
1. 作用 域 


作用 域 是 网 络 上 可 用 人 P 地 址 的 完整 连续 范围 。 作 用 域 通常 定义 为 接受 DHCP 服务 的 网 络 上 的 
单个 物理 子 网 。 作 用 域 还 为 网 络 上 的 客户 端 提供 服务 器 对 IP 地 址 及 任何 相关 配置 参数 的 分 发 和 指 
派 进 行 管理 的 主要 方法 。 

2. 超级 作用 域 


超级 作用 域 是 作用 域 的 管理 组 合 ， 它 可 用 于 支持 同一 物理 子 网 上 的 多 个 逻辑 IP 子 网 。 超 级 
作用 域 仅 包含 可 同时 激活 的 “成 员 作用 域 ” 或 “ 子 作用 域 ”列表 。 超 级 作用 域 不 用 于 配置 有 关 作 
用 域 使 用 的 其 他 详细 信息 。 如 果 想 配置 超级 作用 域内 使 用 的 多 种 属性 ， 用户 需要 单独 配置 成 员 作 
用 域 属性 。 


3. 排除 范围 


排除 范围 是 作用 域内 从 DHCP 服务 中 排除 的 有 限 他 地 址 序列 。 排 除 范围 确保 服务 器 不 会 将 这 
些 范围 中 的 任何 地 址 提供 给 网 络 上 的 DHCP 客户 端 。 例 如 ， 如 果 设 置 的 地 址 范围 是 172.16.1.1 一 
172.16.1.254， 同 时 设置 了 排除 范围 为 172.16.1.50 一 172.16.1.100， 那 么 该 DHCP 服务 器 不 会 将 
172.16.1.50 一 172.16.1.100 范围 内 的 他 地 址 出 租 给 客户 端 。 


4. 地 址 池 


在 定义 了 DHCP 作用 域 并 应 用 排除 范围 之 后 ， 在 作用 域内 剩余 的 地 址 便 是 “地 址 池 ”。DHCP 
服务 器 可 将 池内 地 址 动态 地 指派 给 网 络 上 的 DHCP 客户 端 。 例 如 ， 当 在 172.16.1.1 一 172.16.1.254 
范围 内 设置 了 排除 范围 172.16.1.50 一 172.16.1.100 后 ， 地 址 池 将 变 成 172.16.1.1 一 172.16.1.49 和 
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172.16.1.101 一 172.16.1.254。 
5. 租约 


租约 是 由 DHCP 服务 器 指定 的 一 段 时 间 ， 在 此 时 间 内 容 户 端 计算 机 可 使 用 指派 的 他 地址 。 当 
向 客户 端 提供 租约 时 ， 租 约 是 “活动 ”的 。 在 租约 过 期 之 前 ， 客 户 端 通常 需要 向 服务 器 更 新 指派 给 
它 的 地 址 租约 。 当 租约 期 满 或 在 服务 器 上 被 删除 时 ， 它 将 变 成 “ 非 活动 ”的 。 租 约 期 限 决定 租约 何 
时 期 满 以 及 客户 端 需要 向 服务 器 对 它 进行 更 新 的 频率 。 


6. 保留 


可 使 用 “保留 ”功能 来 创建 DHCP 服务 器 指派 的 永久 地 址 租约 。“ 保 留 ”可 确保 子 网 上 指定 
的 硬件 设备 始终 可 使 用 相同 的 下 地址。 


7. 选项 类 型 


“选项 类 型 ”是 DHCP 服务 器 在 向 DHCP 客户 端 提供 租约 时 可 指派 的 其 他 客户 端 配置 参数 。 
例如 ， 一 些 常 用 选项 包含 用 于 默认 网 关 (路 由 器 ) 、WINS 服务 器 和 DNS 服务 器 的 耳 地 址 。 通 常 ， 
为 每 个 作用 域 启用 并 配置 这 些 选 项 类 型 。 DHCP 控制 台 还 允许 用 户 配置 由 服务 器 添加 和 配置 的 所 有 
作用 域 使 用 的 默认 选项 类 型 。 例 如 ， 用 于 PXE 的 无 盘 工 作 站 或 者 使 用 “Windows 部 署 服务 ”， 需 
要 将 DHCP 选项 60 配置 为 “PXEClient”。 

8. 选项 类 别 

“选项 类 别 ” 是 一 种 可 供 服务 器 进一步 管理 提供 给 客户 端的 选项 类 别 的 方式 。 当 选项 类 别 添 
加 到 服务 器 时 ， 可 为 该 类 别 的 客户 端 提供 用 于 其 配置 类 别 的 特定 选项 类 型 。 对 于 Windows 2000 和 
Windows XP， 客 户 端 计算 机 还 可 以 在 和 服务 器 通信 时 指定 类 ID 。 对 于 不 支持 类 ID 过 程 的 早期 
DHCP 客户 端 ， 当 需要 将 客户 端 归 类 时 可 以 把 服务 器 配置 成 默认 类 以 便 使 用 。 选 项 类 有 两 种 类 别 ; 
供应 商 类 别 和 用 户 类 别 。 


3.1.4 ”大 型 网 络 中 需要 至 少 两 台 DHCP 服务 器 


在 大 型 网 络 中 ， 需 要 部 署 至 少 两 台 DHCP 服务 器 。 如 果 整 个 网 络 中 只 有 1 台 DHCP 服务 器 ， 
当 这 台 DHCP 停止 工作 时 ， 网 络 中 的 工作 站 可 能 获取 不 到 卫 地 址 ， 从 而 引起 网 络 中 断 。 为 了 提高 
容错 能 力 ， 在 条 件 多 许 的 情况 下 ， 推 荐 在 网 络 中 部 署 两 台 DHCP 服务 器 。 此 时 ， 可 以 使 用 80/20 
规则 ， 有 具体 方法 是 在 性 能 比较 好 的 DHCP 服务 器 上 ， 分 配 约 80% 的 他 地 址 ， 在 性 能 一 般 或 者 备用 
DHCP 服务 器 上 ， 分 配 约 20% 的 下 地 址 ， 其 设置 如 图 3-1 所 示 。 

如 果 DHCP 为 多 个 VLAN 分 配 人 P 地 址 ， 每 个 作用 域 都 要 按照 图 3-1 中 的 规则 进行 设置 。 
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DHCP 服 务 器 1 
192.168.1.2 


DHCP 服务 器 1 有 20% 的 地 址 如 下 : 
作用 域 范围 : 192.168.1.10 - 192.168.1.254 


DHCP 服 务 器 2 排除 地 址 : 192.168.1.10 - 192.168.1.205 


192.168.1.1 


DHCP 服务 器 2 有 80% 的 地 址 如 下 : 
作用 域 范围 : 192.168.1.10 - 192.168.1.254 
排除 地 址 : 192.168.1.206 - 192.168.1.254 


图 3-1 采用 80/20 规则 分 配 卫 地址 


( 1 ) 只 有 在 大 型 的 网 络 或 者 重要 的 网 络 环境 中 ， 才 需要 部 署 多 人 台 DHCP 服务 器 。 现 在 的 计算 机 硬 
件 已 经 很 稳定 ， 在 实际 生活 中 ， 很 少 有 DHCP 服务 器 停止 工作 的 例子 。 所 以 ， 在 一 般 情况 下 ， 部 署 一 台 
DHCP 服务 器 即 可 以 满足 需要 。 


(2 ) DHCP 服务 器 可 以 采用 “硬件 ”或 “服务 器 ”+“DHCP 软件 ”方式 ， 所 谓 “ 硬 件 ”方式 ， 就 
是 某 些 三 层 交 换 机 ， 集 成 了 DHCP 服务 器 ， 例 如 华为 的 53 系列 三 层 交 换 机 。 如 果 是 使 用 交换 机 集成 的 
DHCP 服务 器 ， 客 户 端 获得 地 址 的 方式 比较 快速 ， 并 且 工 作 比 较 稳 定 。 但 集成 的 DHCP 服务 器 ， 在 某 些 
功能 上 会 有 限制 。 


3.1.5 ”DHCP 服务 器 授权 问题 


在 Windows 2000 以 前 的 时 代 ， 基 于 Windows NT Server 以 及 其 他 非 Microsoft 的 DHCP 服务 
器 ， 只 要 网 络 中 安装 并 配置 了 ， 网 络 中 的 工作 站 就 可 以 从 这 些 DHCP 服务 器 获得 地 址 。 如 果 网 络 
中 只 有 一 台 DHCP 服务 器 ，DHCP 工作 站 可 以 获得 正确 的 地 址 。 但 是 ， 如 果 网 络 中 有 多 台 DHCP 
服务 器 (有 的 DHCP 服务 器 并 不 是 网 管 配置 的 ， 也 就 是 说 ， 是 一 些 “ 非 法 ”的 DHCP 服务 器 ) ， 
DHCP 工作 站 可 能 会 获得 不 正确 的 地 址 从 而 导致 网 络 通信 问题 。 

基于 上 述 这 些 问题 ， 在 Windows 2000 Server 中 的 DHCP 服务 器 ， 引 入 了 “授权 ”概念 ， 它 要 
求 加 入 到 Active Directory (活动 目录 服务 器 ) 的 DHCP 服务 器 , 必需 在 Active Directory 中 得 到 “ 授 
权 ”， 只 有 经 过 “授权 ”的 DHCP 服务 器 才能 对 外 提供 服务 并 对 外 分 配 IP 地 址 , 但 是 , 在 Windows 
2000 Server 中 ， 即 使 Windows 2000 Server 的 DHCP 服务 器 并 没有 加 入 到 Active Directory， 它 仍然 
可 以 在 “未 授权 ”的 情况 下 对 外 提供 服务 , 所 以 , 对 于 Windows 2000 网 络 来 说 , 这 是 一 点 “遗憾”。 

而 到 了 Windows Server 2003 的 网 络 时 代 ， 只 要 网 络 中 存在 Active Directory 服务 器 ， 不 管 
Windows Server 2003 的 DHCP 服务 器 是 否 加 入 到 Active Directory，DHCP 服务 器 都 必需 经 过 “ 授 
权 ” 才 能 工作 ， 这 是 针对 Windows 2000 网 络 所 做 的 改进 。 所 以 ， 在 Windows Server 2003 网 络 中 ， 
通常 将 网 络 中 的 DHCP 服务 器 作为 额外 的 Active Directory 服务 器 。 

如 果 网 络 中 有 Windows Server 2008 的 服务 器 ， 并 且 升 级 到 Active Directory， 则 网 络 中 的 


第 1 篇 ”基础 服务 配置 管理 与 应 用 


Windows Server 2003、Windows Server 2008 操作 系统 的 DHCP 服务 器 , 必需 加 入 到 Active Directory 
才能 完成 “授权 ”的 工作 ， 否 则 ， 这 些 DHCP 服务 器 会 停止 工作 ， 不 能 提供 他 地 址 的 分 配 。 

如 果 你 的 Active Directory 服务 器 不 提供 DHCP 服务 , 无须 因 为 授权 而 安装 DHCP 服务 器 组 件 ， 
只 需要 安装 Windows Server 2003 (或 Windows 2000 Server) 管理 工具 。 管 理工 具 可 以 从 
cwindows\system32\ 目 录 下 ， 运 行 adminpak.msi 文件 包 即 可 (ci\windows 是 Windows Server 2003 
的 安装 目录 ) 。 


3.1.6 ”企业 网 络 中 IP 地 址 的 规划 


DHCP 服务 器 的 使 用 和 网 络 中 的 瑟 地 址 规划 是 分 不 开 的 。 当 网 络 中 的 计算 机 超过 一 定数 量 时 ， 
就 需要 划分 VLAN。 一 般 情 况 下 ， 当 计算 机 数量 超过 30 台 时 ， 就 可 以 划分 多 个 VLAN。 

在 划分 VLAN 的 时 候 ， 可 以 根据 不 同 的 部 门 划分 ， 也 可 以 根据 不 同 的 楼 层 划分 ， 这 就 需要 看 
现 有 网 络 中 的 交换 机 是 否 支持 。 如 果 中 心 交 换 机 是 一 个 支持 VLAN 的 三 层 交 换 机 ， 各 楼 层 的 接 入 
交换 机 是 支持 VLAN 的 二 层 交 换 机 ， 则 可 以 根据 部 门 划分 VLAN; 如 果 各 楼 层 的 接 入 交换 机 是 不 
支持 VLAN 的 普通 交换 机 ， 则 可 以 按照 楼 层 来 划分 VLAN。 

在 划分 VLAN 的 时 候 ， 一 般 采 用 10.0.0.008、172.16.0.0/016、192.168.0.0/16 的 私 网 地 址 划分 。 
当 划 分 的 网 段 比较 少 (100 个 以 下 ) 时， 可 以 采用 192.168.0.0/16 的 网 段 或 172.16.0.0/16 的 网 段 ， 
只 有 当 网 络 比较 大 时 ， 才 采用 10.0.0.0/8 的 网 段 。 在 划分 的 时 候 ， 还 要 考虑 将 来 的 “扩展 ”需要 。 

在 划分 VLAN 的 时 候 ， 根 据 用 途 不 同 “连续 ”划分 。 例 如 : 

(1) 用 于 工作 站 的 地 址 段 ， 192.168.0.0/16 一 192.168.63.0/16， 这 样 连续 有 64 个 C 类 地 址 段 ， 
每 个 地 址 可 以 容纳 253 台 计 算 机 ， 一 共 可 以 支持 16000 台 左 右 的 计算 机 ， 能 够 满足 一 般 企业 使 用 。 

(2) 用 于 服务 器 的 地 址 段 ， 192.168.128.0 一 192.168.159.0/16， 这 样 连续 有 32 个 C 类 地 址 段 ， 
每 个 地 址 可 以 容纳 253 台 服 务 器 ， 大 约 8000 个 地 址 ， 能 够 满足 需要 。 

(3) 用 于 VPN 客户 端的 地 址 : 192.168.160.0 一 192.168.191.0/16, 这 样 连 续 有 32 个 C 类 地 址 段 ， 
足以 满足 VPN 客户 端 访 问 需要 。 

(4) 用 于 默认 路 由 的 地 址 : 192.168.254.0/116， 用 于 满足 交换 机 “上 联 ” 路 由 器 (或 者 防火 墙 
和 代理 服务 器 ) 的 “默认 路 由 ”使 用 ， 或 者 连接 其 他 网 络 ， 在 此 有 一 个 C 类 地 址 段 就 够 了 。 

(5) 在 划分 VLAN 的 时 候 ， 为 每 个 VLAN 设置 一 个 相同 的 地 址 作为 网 关 地 址 。 例 如 ， 可 以 
将 每 个 网 段 的 最 后 一 个 地 址 作为 网 关 地 址 。 例 如 ， 对 于 192.168.0.0/16 的 网 段 ， 其 网 关 地 址 是 
192.168.0.254。 

这 样 划分 的 优点 如 下 : 

(1) 当 工 作 站 的 地 址 段 不 够 时 ， 可 以 继续 使 用 192.168.64.0 一 192.168.127.0/16 的 地 址 段 而 
其 他 网 段 〈 如 路 由 器 或 代理 服务 器 、VPN 客户 端 ) 有 需要 访问 工作 站 的 路 由 时 ， 只 需要 添加 
192.168.0.0/18 (代表 192.168.0.0 ~ 192.168.63.0/16 ) 或 192.168.0.0/117 (代表 192.168.0.0 一 
192.168.127.0/16) 一 条 静态 路 由 即 可 。 

(2) 在 其 他 网 段 访 问 服务 器 时 ， 只 需要 添加 192.168.128.0/19 一 条 静态 路 由 即 可 。 

(3) 这 样 划分 后 ， 仍 然 有 许多 地 址 可 以 备用 。 即 使 大 型 的 网 络 ， 这 样 划分 也 能 满足 需要 。 

(4) 将 最 后 一 个 地 址 作为 网 关 地 址 ，1 一 253 作为 可 用 地 址 ， 这 样 人 们 在 采用 “手动 方式 ” 设 
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置 正 地 址 时 ， 不 容易 发 生 冲 突 。 如 果 将 第 1 个 地 址 作为 网 关 地 址 ， 人 们 在 设置 瑟 地 址 时 ， 有 可 能 
将 第 1 个 地 址 作为 工作 站 的 地 址 ， 这 样 容 易 引 起 地 址 冲突 。 

划分 VLAN 的 工作 ， 需 要 在 “中 心 交换 机 ”以 及 “ 接 入 层 交 换 机 ”上 划分 。 

当 企业 网 络 中 有 多 个 VLAN 时 ， 各 个 工作 站 要 想 接 入 网 络 ， 必 需 设置 正确 的 他 地 址 、 子 网 掩 
码 、 网 关 、DNS 地 址 ， 如 果 设 置 了 错误 的 地 址 ， 将 会 引起 网 络 问题 。 在 同一 VLAN 中 ， 如 果 设 置 
了 重复 的 地 址 ， 会 造成 地 址 冲突 ， 这 些 都 会 给 网 管 员 带 来 负担 。 此 时 ， 可 以 采用 DHCP 服务 器 ， 
为 网 络 中 的 工作 站 统一 、 自 动 分 配 瑟 地 址 及 其 相关 参数 (如 子 网 掩 码 、 网 关 、DNS 等 ) 。 


3.1.7 VLAN 和 DHCP 中 继 问 题 


在 划分 有 VLAN 的 网 络 中 ,仍然 只 需要 使 用 1 台 或 2 台 DHCP 服务 器 ,而 不 需要 在 每 个 VLAN 
中 部 署 一 台 DHCP 服务 器 。 在 前 面 已 经 讲 到 ，DHCP 服务 是 靠 “ 广 播 ” 的 方式 获得 TCP/IP 地 址 及 
其 相关 参数 的 ， 在 “屏蔽 ”广播 的 VLAN 之 间 获 得 他 地 址 ， 是 靠 三 层 交 换 机 的 DHCP 中 继 来 实现 
的 ， 在 三 层 交换 机 中 ， 需 要 在 没有 DHCP 服务 器 的 VLAN 中 ， 启 用 并 配置 DHCP 中 继 功 能 并 指定 
网 络 中 DHCP 服务 器 的 位 置 ( 即 DHCP 服务 器 的 于 地址 )。 

对 于 DHCP 服务 器 来 说 ， 无 须 过 多 其 他 的 设置 ， 只 需要 为 每 个 VLAN 创建 一 个 作用 域 并 正确 
设置 作用 域 的 参数 、 网 关 地 址 及 其 他 参数 (如 DNS 地址 、WINS 服务 器 地 址 ) 即 可 。 

Windows 2000 Server 和 Windows Server 2003、Windows Server 2008 也 提供 了 “DHCP 中 继 ” 
功能 , 但 这 一 项 在 实际 使 用 中 没有 多 大 意义 ,因为 使 用 三 层 交 换 机 的 成 本 已 经 很 低 ， 用 户 无 须 因为 
降低 成 本 而 使 用 普通 交换 机 +Windows Server 2003“ 软 路 由 ”的 方式 划分 VLAN。 并 且 ， 即 使 使 用 
Windows Server 2003 做 “DHCP 中 继 ”， 但 在 每 个 VLAN 放置 一 台 计算 机 也 是 不 现实 的 。 在 实际 
的 应 用 中 ，Windows Server 2003 中 的 “DHCP 中 继 ”， 是 为 了 兼 做 “路 由 和 远程 访问 ”服务 器 时 ， 
让 远程 客户 端 访问 内 网 而 使 用 的 ， 这 时 候 的 “DHCP 中 继 ” 有 其 存在 的 意义 。 


3.2 ”DHCP 服务 器 的 安装 和 使 用 


如 果 正 在 组 建 一 个 新 的 网 络 ， 可 参考 “3.1.6 企业 网 络 中 他 地 址 的 规划 ”的 方式 ， 为 企业 网 络 
中 的 工作 站 、 服 务 器 、VPN 〈 如 果 存在 ) 、 默 认 路 由 等 进行 规划 。 如 果 网 络 已 经 组 建 并 规划 好 ， 需 
要 记 住 网 络 中 的 规划 ， 这 包括 网 络 中 各 VLAN 的 地 址 段 、 子 网 掩 码 、 网 关 、DNS 等 。 如 果 要 在 网 
络 中 配置 DHCP 服务 器 ， 需 要 将 DHCP 和 网 络 中 的 其 他 服务 器 在 同一 网 段 ， 并 且 在 “核心 交换 机 ” 
(通常 为 三 层 交 换 机 〉 指 定 “DHCP 中 继 ” 的 地 址 为 网 络 中 DHCP 服务 器 的 人 P 地 址 。 当 交换 机 的 
型 号 不 同时 ,配置 方法 可 能 不 太 相同 。 如 果 网 络 中 只 有 一 个 网 段 , 或 者 交换 机 是 普通 的 交换 机 ， 则 
不 需要 在 交换 机 中 配置 DHCP 中 继 。 下 面 通过 图 3-2 的 网 络 拓扑 ， 介 绍 网 络 中 人 P 地 址 、DHCP 服 
务 器 的 配置 。 
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DHCP 服 务 器 

IP: 192. 168. 128.5 
子 网 掩 码 ，255. 255. 255. 0 
网 关 : 192. 168. 128. 254 


人 工作 站 (VLAN101) : 工作 站 (VLAN115) : 

pik IP:192. 168. 1. 1~253 IP:192. 168. 15. 1 一 253 
子 网 掩 码 : 255. 255. 255. 0 子 网 掩 码 ，255. 255. 255. 0 子 网 掩 码 ，255. 255. 255. 0 
网 关 : 192. 168. 0. 254 网 关 : 192. 168. 1. 254 网 关 : 192. 168. 15. 254 


3-2 ”DHCP 配置 网 络 拓扑 


在 图 3-2 中 ， 工 作 站 使 用 了 192.168.0.0/24 一 192.168.0.15/24 共 16 个 VLAN， 每 个 网 段 的 网 关 
地 址 是 最 后 一 个 地 址 。 例如， 第 1 个 工作 站 网 段 VLAN100 的 网 关 地 址 是 192.168.0.254， 网 络 中 的 
服务 器 使 用 了 VLAN128。 在 本 例 中 ， 规 定 DHCP 服务 器 的 IP 地 址 是 192.168.128.5， 网 关 为 
192.168.128.254。 该 DHCP 服务 器 ， 为 网 络 中 的 所 有 工作 站 分 配 IP 地 址 。 


3.2.1 DHCP 服务 器 的 安装 


本 小 节 将 以 图 3-2 内 容 为 例 ， 介绍 在 Windows Server 2008 R2 中 ,安装 配置 DHCP 服务 器 的 步 
骤 ，Windows Server 2008 的 DHCP 服务 器 与 此 类 似 。 


各 首先 , 设置 亿 地 址 为 192.168.128.5、 子 网 掩 码 为 255.255.255.0、 网 关 为 192.168.128.254、 
DNS 为 192.168.128.5， 如 图 3-3 所 示 。 


Pl 
[EEC 
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3-3 设置 卫 地 址 


由 2 然后 进入 “服务 器 管理 器 ” 窗口， 右 击 “ 角 色 ”， 在 弹出 的 快捷 菜单 中 选择 “添加 角色 ”， 
或 者 在 右 侧 的 “角色 ”中 单 击 “ 添 加 角色 ”链接 ， 如 图 3-4 所 示 。 
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图 3-4 添加 角色 


通常 情况 下 ， 新 添加 的 角色 和 功能 ， 都 是 从 图 3-4 所 示 窗 口 右 侧 的 “添加 角色 ”链接 中 进入 。 这 相 
当 于 以 前 Windows Server 2003 中 的 “控制 面板 一 添加 或 删除 程序 一 添加 /删除 Windows 组 件 ”的 链接 。 


3 在 “选择 服务 器 角色 ”对 话 框 中 ,选择 要 安装 的 角色 。 在 这 个 对 话 框 中 , 还 可 以 添加 (或 
删除 ) Rights Management Services 服务 、 证 书 服务 、DHCP 服务 器 、DNS 服务 器 、IS、UDDI 服 
务 、Windows 部 署 服务 、 传 真 服务 器 、 打 印 服 务 、 网 络 策略 和 访问 服务 、 终 端 服务 等 。 在 本 例 中 ， 
选择 添加 DHCP 服务 器 ， 如 图 3-5 所 示 。 

to 约 在 “DHCP 服务 器 ”对 话 框 中 ， 显示 了 DHCP 服务 器 的 概述 及 安装 注意 事项 ， 查 看 之 后 ， 
单 击 “ 下 一 步 ”按钮 ， 如 图 3-6 所 示 。 
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图 3-5 添加 DHCP 服务 器 3-6 ”DHCP 服务 器 简介 


tog 在 “选择 网 络 连接 绑 定 ”对 话 框 中 ， 选 择 向 客户 端 提 供 服 务 的 网 络 连接 ( 即 侦 听 DHCP 
客户 端 请 求 的 网 卡 及 他 地址 ) ， 在 此 选择 192.168.128.5， 如 图 3-7 所 示 。 

to6j 在 “指定 IPv4 DNS 服务 器 设置 ”对 话 框 中 ， 设 置 DNS 服务 器 的 地 址 。 如 果 当 前 的 计算 
机 “ 兼 做 ”DNS 服务 器 ， 则 填写 当前 的 人 P 地 址 ; 如 果 使 用 ISP 提供 的 DNS 地 址 ， 则 填写 ISP 的 
DNS 地 址 , 如 图 3-8 所 示 。 在 本 例 中 , 设置 “ 父 域 ”域名 为 “msft.com”、DNS 地 址 为 192.168.128.5。 
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各 蕴 定 IPv4 DRS 服务 器 向 百 
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图 3-7 DHCP 服务 器 地 址 图 3-8 DNS 服务 器 设置 


4 在 “指定 IPv4 WINS 服务 器 设置 ”对 话 框 中 ,设置 当前 网 络 是 否 需要 WINS 服务 器 。 在 
此 选择 “此 网 络 上 的 应 用 程序 需要 WINS”， 并 指定 WINS 服务 器 的 地 址 为 当前 服务 器 的 地 址 
192.168.128.5， 如 图 3-9 所 示 。 

io8j 在 “添加 或 编辑 DHCP 作用 域 ” 对 话 框 ， 添 加 作用 域 的 名 称 、 地 址 范围 、 子 网 掩 码 及 网 
关 。 在 此 ， 根 据 前 面 的 案例 的 规划 ， 添 加 多 个 DHCP 作用 域 。 首 先 单 击 “ 添 加 ”按钮 ， 在 弹出 的 
“添加 作用 域 ”对 话 框 中 ,输入 第 一 个 要 添加 的 作用 域 的 名 称 及 相关 参数 。 在 本 例 中 ， 作 用 域名 称 
为 VLAN100, 起 始 亿 地址 为 192.168.0.1, 结束 他 地 址 为 192.168.0.253, 子 网 掩 码 为 255.255.255.0， 
默认 网 关 为 192.168.0.254， 添 加 之 后 单 击 “ 确 定 ” 按 钮 ， 如 图 3-10 所 示 。 
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Hr a | rn 


加 用 才 过 后 ,NE 基于 1 地 直人 


3-9 指定 WINS 服务 器 地 址 


图 3-10 ”添加 作用 域 

同样 地 ， 添 加 其 他 作用 域 。 如 果 添 加 的 作用 域 需要 修改 ， 可 以 在 “作用 域 ”列表 中 ， 选 中 要 修 
改 的 作用 域 ， 单 击 “ 编 辑 ” 按 钮 修改 。 如 果 要 删除 不 需要 的 作用 域 ， 在 选中 作用 域 之 后 ， 单 击 “ 删 
除 ”按钮 即 可 。 在 本 例 中 ， 添 加 了 三 个 作用 域 ， 如 图 3-11 所 示 。 


9 在 “配置 DHCPv6 无 状态 模式 ”对 话 框 中 , 选择 “对 此 服务 器 启用 DHCPv6 无 状态 模式 ”， 
如 图 3-12 所 示 。 
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图 3-11 添加 三 个 作用 域 


图 3-12 DHCPv6 无 状态 模式 


型 g 在 “指定 IPv6 DNS 服务 器 设置 ”对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 3-13 所 示 。 
加 是 在 “确认 安装 选择 ”对 话 框 中 ， 显 示 了 要 安装 的 DHCP 服务 器 的 配置 ， 确 认 无 误 之 后 ， 


单 击 “ 安 装 ” 按 钮 ， 开 始 安装 ， 如 图 3-14 所 示 。 
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3-14 ”安装 选择 


因 色 安装 完成 之 后 ,在 “安装 结果 ”对 话 框 中 ， 显示“ 安装 成 功 ”， 如 图 3-15 所 示 ， 单 击 “ 关 


闭 ” 按 钮 ， 完 成 DHCP 服务 器 的 安装 。 


书 安装 结果 
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3-15 ”安装 完成 
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3.2.2 在 DHCP 服务 器 中 创建 作用 域 

除了 可 以 在 安装 DHCP 服务 器 的 过 程 中 ， 创 建 作 用 域 ， 也 可 以 在 安装 DHCP 服务 器 之 后 ， 创 
建 作 用 域 。 操 作 步骤 如 下 。 

L 叹 在 “服务 器 管理 器 ”中 ,定位 到 “角色 一 DHCP 服务 器 一 (服务 器 计算 机 名 称 ) IPv4”， 
右 击 IPv4， 在 弹出 的 快捷 菜单 中 选择 “新 建 作用 域 ”， 如 图 3-16 所 示 。 


图 3-16 新 建 作用 域 
io 到 在 “作用 域名 称 ” 文 本 框 中 输入 “VLAN103”， 如 图 3-17 所 示 。 也 可 以 在 “描述 ” 文 


本 框 中 ， 输 入 该 作用 域 的 描述 信息 。 
03) 在 “IP 地 址 范围 ”对 话 框 ， 在 “起 始 他 地 址 ”文本 框 中 输入 192.168.3.1， 在 “结束 人 P 
地 址 ”文本 框 中 输入 192.168.3.253， 在 “长 度 ” 文 本 框 中 输入 24， 此 时 “ 子 网 掩 码 ” 文 本 框 的 数 


值 是 “255.255.255.0”， 如 图 3-18 所 示 。 


图 3-17 创建 作用 域 图 3-18 指定 作用 域 范围 及 子 网 掩 码 


0 打开 “添加 排除 ”对 话 框 ， 在 “起 始 下 地 址 ”和 “结束 他 地 址 ”文本 框 中 输入 将 要 保 
留 的 也 地址 ， 在 此 添加 192.168.3.1 ~ 192.168.3.10 的 地 址 ， 如 图 3-19 所 示 。 可 以 在 此 添加 多 个 排 
除 的 地 址 ， 排 除 的 地 址 在 此 DHCP 服务 器 将 不 会 用 于 分 配 ( 如果 有 多 个 DHCP 服务 器 ， 可 以 在 此 
DHCP 服务 器 添加 其 他 DHCP 服务 器 要 用 于 分 配 的 他 地 址 ， 反 之 亦 然 ) 。 
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to 昌 打开 “租约 期 限 ”对 话 框 ， 设 置 此 作用 域 的 租约 期 限 ， 默 认 情 况 下 是 8 天 。 可 以 根据 需 
要 进行 设置 ， 如 果 用 户 的 网 络 经 常 更 改 IP 参数 ， 那 么 可 以 将 此 值 设 置 得 小 一 些 。 如 果 此 作用 域 用 
于 拨号 网 络 ， 那 么 设置 得 更 短 ， 如 30 分 钟 ， 通 常 选择 默认 值 即 可 ， 单 击 “ 下 一 步 ”按钮 。 

to8j 打开 “配置 DHCP 选项 ”对 话 框 ， 选 择 “ 是 ， 我 想 现在 配置 这 些 选项 ” 单 选 按钮 ， 然 后 
单 击 “下 一 步 ”按钮 。 

由 打开 “路 由 器 (默认 网 关 ) ”对 话 框 ， 在 “IP 地 址 ”文本 框 中 输入 当前 子 网 的 网 关 地 址 
192.168.3.254， 单 击 “ 添 加 ”按钮 ， 将 其 添加 到 下 面 的 列表 框 中 ， 如 图 3-20 所 示 。 

SH gg 图 


个 在" 直 
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ils Wz 

“上 - 步 m) Li 职 消 
图 3-19 ”添加 排除 地 址 图 3-20 ”添加 网 关 地 址 


由 8| 打开 “域名 称 和 DNS 服务 器 ”对 话 框 ， 在 此 可 添加 当前 作用 域 的 DNS 名 称 和 域名 。 由 
于 此 步 中 的 DNS 名 称 和 下 一 步 中 的 WINS 服务 器 ， 通 常 是 在 DHCP 服务 器 的 “服务 器 选项 ”中 设 
置 ， 所 以 这 里 直接 单 击 “下 一 步 ”按钮 。 

to9j 在 以 后 的 步骤 中 ， 一 直 单 击 “ 下 一 步 ”按钮 ， 在 “激活 作用 域 ” 对 话 框 中 选择 “是 ， 我 
想 现在 激活 此 作用 域 ” 选 项 ， 然 后 在 下 一 个 对 话 框 中 单 击 “ 完 成 ”按钮 即 可 。 

其 他 VLAN 的 作用 域 创建 方法 ， 也 可 以 参照 以 上 步骤 进行 。 


3.2.3 ”为 交换 机 指定 DHCP 服务 器 的 地 址 


ETETB 
下 直 于 只 褒 关 KS 
为 汪 此 作用 江天 轨 9 所 由 的 R 才 。 oY 


如 果 DHCP 服务 器 为 多 个 VLAN 分 配 他 地 址 (及 其 他 参数 ), 需要 配置 网 络 中 的 三 层 交 换 机 ， 
启用 DHCP 中 继 并 指定 DHCP 服务 器 的 地 址 。 下 面 是 华为 系列 交换 机 启用 DHCP 中 继 的 配置 ， 其 


中 DHCP 服务 器 的 IP 地 址 为 192.168.128.5。 华 为 8505 的 配置 如 下 (其 他 交换 机 的 配置 ， 读 者 可 
以 查阅 相关 的 技术 文档 ): 


<8505B>sys 
Enter system view . return user view with Ctrl+Z. 
[8505Bjdisp curr 
# 
sysname 8505B 
# 
# 
dhcp-server 5 ip 192.168.128.5 
dhcp-server detect 
大 


interface Vlan-interface100 
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ip address 192.168.0.254 255.255.255.0 
dhcp-server 5 

# 

interface Vlan-interface101 
ip address 192.168.1.254 255.255.255.0 
dhcp-server 5 

# 

interface Vlan-interface102 
ip address 192.168.2.254 255.255.255.0 
dhcp-server 5 

# 


3.2.4 配置 DHCP 服务 器 选项 


一 台 工 作 站 要 想 正常 地 访问 网 络 ， 除 了 了 P 地 址 、 子 网 掩 码 、 网 关 地 址 外 ， 还 需要 一 些 “公共” 
的 信息 ， 如 用 来 解析 域名 的 DNS 服务 器 、 用 来 解析 NetBIOS 名 称 的 WINS 服务 器 等 。 虽 然 可 以 在 
配置 作用 域 的 时 候 ， 为 每 个 作用 域 指定 DNS 和 WINS 服务 器 ， 但 这 样 是 比较 麻烦 的 。 因 为 DNS 
服务 器 和 WINS 服务 器 对 于 每 个 作用 域 来 说 都 是 “相同 ”的 , 所 以 , 这 可 以 在 “DHCP 服务 器 选项 ” 
中 统一 配置 。 

下 面 介绍 在 服务 器 选项 中 配置 DNS、WINS 服务 器 地 址 的 方法 和 步骤 。 


to 山 在 DHCP 服务 器 中 ,选取 “服务 器 选项 ”， 单 击 鼠标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “ 配 
置 选项 ”命令 (如 图 3-21 所 示 ) ， 打 开 “ 服 务 器 选项 ”对 话 框 。 先 选取 “006 DNS 服务 器 ” 复 选 
框 ， 在 “IP 地 址 ”文本 框 中 输入 本 网 络 中 DNS 服务 器 的 他 地 址 ， 如 192.168.128.5， 单 击 “ 添 加 ” 
按钮 ， 如 图 3-22 所 示 。 如 果 网 络 中 有 多 个 DNS， 可 以 再 次 添加 。 
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3-21 配置 服务 器 选项 3-22 ”添加 DNS 服务 器 


可 以 单 击 “ 下 移 ” 或 者 “上 移 ” 按 钮 来 调整 DNS 服务 器 的 顺序 。 


四 2 选取 “044 WINS/BINS 服务 器 ” 复 选 框 ， 添 加 WINS 服务 器 的 地 址 。 
to3 选取 “046 WINS/BINS 节点 类 型 ” 复 选 框 ， 并 修改 节点 类 型 为 0x8。 


以 后 ， 可 以 在 “服务 器 选项 ”对 话 框 中 ， 修 改 DNS、WINS 服务 器 等 参数 。 
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如 果 同 时 在 作用 域 选 项 和 服务 器 选项 中 配置 了 相同 的 参数 ( 如 DNS 服务 器 ) ， 则 作用 域 的 选项 优先 


于 服务 器 选项 。 例 如 , 在 服务 器 选项 配置 了 DNS 地 址 为 202.206.192.33, 而 在 某 个 作用 域 选 项 配置 了 DNS 
地 址 为 202.99.160.68 ， 则 该 作用 域 所 有 的 工作 站 获得 的 DNS 地 址 将 是 202.99.160.68 而 不 是 
202.206.192.33。 


3.2.5 ”创建 保留 地 址 


DHCP 服务 器 为 用 户 分 配 人 P 地 址 时 ， 是 “ 先 来 先 获得 ”的 原则 ， 通 常情 况 下 ， 最 先 从 DHCP 
服务 器 申请 人 P 地 址 的 计算 机 , 将 从 地 址 池 获 得 比较 低 的 地 址 , 后 面 的 计算 机 则 分 配 比较 高 的 地 址 ， 
并 且 ， 工 作 站 每 次 获得 的 地 址 可 能 不 尽 相 同 。 在 许多 时 候 ， 一 些 客 户 机 要 求 获得 固定 的 IP 地 址 ， 
这 就 需要 在 DHCP 服务 器 中 ， 使 用 创建 “保留 ”地 址 的 方法 ， 为 某 些 客户 机 分 配 指 定 的 他 地址 。 

在 为 客户 机 分 配 指 定 的 IP 地 址 时 ， 需 要 事先 知道 客户 机 的 MAC 地 址 ， 可 以 在 客户 机 上 使 用 
ipconfig/all 命令 获得 网 卡 的 MAC 地 址 。 例 如 ， 一 台 计 算 机 显示 如 下 : 


Connection-specific DNS Suffix .: 


其 中 “Physical Address” 后 面 的 6 个 字 节 十 六 进 制 数字 即 是 该 网 卡 的 MAC 地 址 。 

下 面 来 介绍 在 DHCP 服务 器 为 指定 MAC 地 址 的 计算 机 划分 指定 人 P 地 址 的 方法 (在 DHCP 服 
务 器 中 称 作 “ 添 加 保留 地 址 ”)。 本 例 将 为 MAC 地 址 为 “00.E0.4C.12.34.56” 的 网 卡 保留 人 P 地 址 
192.168.1.123。 


9 进入 DHCP 服务 器 ， 在 相应 的 作用 域 ( 如 想 保留 192.168.1.123 的 地 址 ， 需 要 在 作用 域 地 
址 范围 包括 192.168.1.0 的 作用 域 ) 定位 到 “保留 ”， 右 击 “ 保 留 ”， 从 弹出 的 快捷 菜单 中 选择 “新 
建 保留 ”命令 ， 如 图 3-23 所 示 。 
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3-23 ”为 指定 工作 站 保留 卫 地 址 
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92 打开 “新 建 保 留 ” 对 话 框 ， 在 “保留 名 称 ” 文 本 框 中 输入 一 个 标识 信息 ， 在 “IP 地 址 ” 
字段 后 面 输入 想 要 保留 的 一 地址 , 在 “MAC 地 址 ”后 面 输入 想 要 保留 此 地 址 的 计算 机 网 卡 地 址 ( 连 
续 输 入 ， 中 间 不 要 有 短 横 线 “-” ) ， 然 后 单 击 “ 添 加 ”按钮 ， 如 图 3-24 所 示 。 


区 小 :| 


Cd _xmo | 
3-24 为 指定 工作 站 保留 下 地 址 


io3 如 果 网 络 中 有 多 人 台 DHCP 服务 器 ， 则 需要 在 每 一 台 DHCP 服务 器 上 ， 都 要 为 保留 的 地 址 
创建 一 次 。 
四 弛 如 果 有 其 他 计算 机 需要 分 配 指 定 的 IP 地 址 ， 则 参照 步骤 1 ~3 创建 。 


接 下 来 ， 我 们 来 看 看 保留 地 址 的 高 级 用 法 ， 初 学 者 可 以 跳 过 以 下 内 容 。 


to 使 用 DHCP 服务 器 为 指定 的 计算 机 分 配 指定 的 也 地 址 ， 只 是 一 种 “ 软 ” 的 方式 ， 如果 网 
络 中 有 其 他 计算 机 ,手动 设置 了 为 用 户 保留 的 了 P 地址, 则 用 户 仍然 不 能 使 用 . 例如 , 假设 在 DHCP 
服务 器 上 为 A 计算 机 保留 了 192.168.5.88 的 亿 地 址 ， 但 网 络 上 的 B 计算 机 使 用 “手动 ”的 方式 设 
置 了 192.168.5.88 的 IP 地 址 并 且 比 A 计算 机 早 开 机 ， 则 A 计算 机 即使 从 DHCP 服务 器 获得 
192.168.5.88 的 地 址 ， 仍 然 不 能 使 用 。 解 决 此 问题 的 方法 很 简单 ， 可 以 在 三 层 交 换 机 中 ， 为 指定 的 
MAC 地 址 绑 定 指定 的 瑟 地 址 , 这 样 , B 计算 机 即使 手动 设置 了 某 个 被 保留 的 地 址 , 仍然 不 能 使 用 。 
例如 , 表 3-1 中 需要 为 下 列 用 户 保留 下 面 的 地 址 ， 除 了 在 DHCP 服务 器 创建 保留 地 址 外 ,还 可 以 在 
三 层 交 换 机 上 绑 定 这 些 地 址 。 


表 3-1 需要 保留 IP 地 址 的 用 户 列表 


00. 0B. 6A. F7. 09. 82 192.168.2.10 
00. 0B. 6A. 45. 23. 46 | 192.168.2.12 
00. 0B. 6A. 27. 39. 21 192.168.3.16 
00. 0B. 6A. F7. 92. 53 192.168.3.18 
| ste | en Le | 172.30.XX.XX 


在 DHCP 服务 器 上 创建 了 保留 地 址 后 ， 登 录 网 络 中 的 “中 心 交 换 机 ”将 MAC 地 址 和 下 地 址 
进行 绑 定 。 以 华为 交换 机 为 例 : 
[8505B]Jarp static 192.168.2.10 000B-6AF7-0982 
[8505B]arp static 192.168.2.12 000B-6A45-2346 


[8505BJarp static 192.168.3.16 000B-6A27-3921 
[8505BJarp static 192.168.3.18 000B-6AF7-9253 
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2 在 上 述 案 例 中 ， 如 果 要 为 所 有 的 用 户 都 绑 定 耳 地 址 ,将 所 有 的 地 址 绑 定 后 ， 还 要 将 网 络 
中 “没有 使 用 ”的 他 地 址 和 一 空 MAC 地 址 相 绑 定 ， 这 样 就 杜绝 了 非 授权 的 计算 机 使 用 网 络 资源 。 
所 谓 “ 没 有 使 用 ”的 卫 地 址 ， 就 是 在 表 3-1 中 没有 绑 定 MAC 地 址 的 下 地址 , 例如 ,在 VLAN3011 
中 ,地 址 范围 是 192.168.1.1 ~ 192.168.1.254, 假定 我 们 使 用 了 192.168.1.10 ~ 192.168.1.125， 网 关 地 
址 使 用 的 是 192.168.1.254, 则 需要 将 192.168.1.1 ~ 192.168.1.9 和 192.168.1.126 ~ 192.168.1.253 都 使 
用 “00.01.00.01.00.01” 绑 定 。 在 华为 交换 机 上 ， 配 置 如 下 : 


[8505BJarp static 192.168.1.1 0001-0001-0001 
[8505BJarp static 192.168.1.2 0001-0001-0001 
[8505BJarp static 192.168.1.3 0001-0001-0001 
[8505BJarp static 192.168.1.4 0001-0001-0001 


[8505B]arp static 192.168.1.253 0001-0001-0001 


3.3 ”DHCP 服务 器 的 管理 


介绍 完 不 同 网 络 环境 中 DHCP 服务 器 的 配置 后 ， 接 下 来 将 讲述 DHCP 服务 器 的 管理 和 DHCP 
客户 端的 配置 。 首 先 介绍 DHCP 服务 器 端的 管理 ， 这 涉及 作用 域 的 管理 、DHCP 服务 器 的 备份 和 
还 原 等 。 


3.3.1 作用 域 的 管理 


在 DHCP 服务 器 中 ， 可 以 创建 和 删除 作用 域 ， 可 以 暂时 停 用 作用 域 ， 也 可 以 在 需要 的 时 候 激 
活 作用 域 。 

在 DHCP 服务 器 操作 窗口 中 ， 选 取 一 个 作用 域 ， 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 可 以 选 
择 相 应 的 功能 进行 管理 ， 如 图 3-25 所 示 。 

如 果 想 停 用 选取 的 作用 域 ， 从 弹出 的 快捷 菜单 中 选择 “ 停 用 ”命令 即 可 。 如 果 作 用 域 已 经 
停 用 ， 则 相应 的 位 置 变 为 “激活 ”。 如 果 作用 域 不 再 使 用 ， 可 以 选择 “删除 ”命令 ， 删 除 不 再 使 用 
的 作用 域 。 

|| 
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图 3-25 管理 作用 域 
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如 果 选 择 “ 显 示 统 计 信 息 ”， 将 显示 DHCP 服务 器 分 配 的 他 地 址 等 情况 。 
3.3.2 ”DHCP 服务 器 的 常规 管理 


在 DHCP 服务 器 管理 窗口 中 ， 选 取 DHCP 服务 器 的 计算 机 名 称 ， 右 击 “IPv4”， 从 弹出 的 快捷 
菜单 中 选择 “属性 ”命令 ， 将 打开 如 图 3-26 所 示 的 DHCP 服务 器 属性 对 话 框 。 


四 和 在 “常规 ”选项 卡 中 ， 可 以 设置 统计 信息 的 间隔 时 间 和 DHCP 审核 记录 等 。 这 里 通常 选 
择 默认 值 。 

io3 打开 “DNS” 选 项 卡 ,如 图 3-27 所 示 . 如 果 网 络 中 的 DHCP 客户 端 计算 机 是 Windows 2000 
以 上 ,或 者 没有 启用 内 部 的 DNS 服务 器 ， 在 “DNS” 选 项 卡 中 ， 可 以 选择 默认 值 。 如 果 网 络 中 的 
DHCP 客户 端 计算 机 有 Windows 98、Windows NT 版 本 ， 并 且 想 让 这 些 以 前 版 本 的 计算 机 名 称 在 
DNS 中 注册 ， 可 从 图 3-27 中 选取 “总 是 动态 更 新 DNS A 和 PTR 记录 ” 单 选 按钮 和 “为 不 请 求 更 
新 的 DHCP 客户 端 动态 更 新 DNS A 和 PTR 记录 ” 复 选 框 。 


3-26 DHCP 常规 选项 卡 3-27 DNS 选项 卡 


03) 在 “网 络 访问 保护 ”选项 卡 中 ， 选 择 是 否 通过 DHCP 服务 器 强行 实施 网 络 访问 保护 ， 如 
图 3-28 所 示 。 


图 3-28 ”网络 访问 保护 
4| 在 使 用 DHCP 服务 器 的 网 络 中 , 如 果 网 络 中 的 计算 机 有 手动 设置 他 地址 的 , 也 有 自动 获 
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取 卫 地 址 的 , 则 DHCP 服务 器 分 配给 DHCP 客户 机 的 地 址 中 ， 有 可 能 引起 冲突 。 如 果 存 在 这 种 情 
况 ， 则 在 “高 级 ”选项 卡 中 的 “冲突 检测 次 数 ”微调 框 中 ， 设 置 0 以 外 的 数字 (如 1) ， 如 图 3-29 
所 示 。 这 样 DHCP 服务 器 在 分 配 地 址 时 ， 将 对 分 配 的 地 址 进行 检测 。 如 果 网 络 上 已 经 有 计算 机 使 
用 了 该 地 址 ， 那 么 DHCP 服务 器 将 重新 为 客户 端 分 配 一 个 地 址 。 

如 果 DHCP 服务 器 上 使 用 了 多 块 网 卡 ， 可 以 单 击 “ 绑 定 ” 按 钮 ， 选 择 DHCP 服务 器 为 客户 端 
提供 服务 所 使 用 的 网 卡 ， 如 图 3-29 所 示 。 


ET 3 
a | D5 | FS Em | 
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图 3-29 冲突 检测 和 选择 DHCP 服务 器 为 监听 的 网 卡 


3.3.3 ”作用 域 属性 

除了 在 DHCP 服务 器 属性 中 ， 对 DHCP 服务 器 进行 统一 的 配置 外 ， 还 可 以 单独 对 每 个 作用 域 
进行 配置 。 

[0 在 DHCP 服务 器 中 ， 右 击 作用 域 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”， 如 图 3-30 所 示 。 


Bod 


3-30 ”作用 域 属性 


2 在 “常规 ”选项 卡 中 ， 可 以 修改 作用 域 的 名 称 、 起 始 和 结束 IP 地 址 、 租 用 期 限 ， 如 
图 3-31 所 示 。 

to3 在 “高 级 ”选项 卡 中 ， 可 以 指定 为 哪些 客户 端 分 配 亿 地址。 选中“ 仅 DHCP” 单 选 按钮 ， 
将 只 能 为 安装 有 操作 系统 (如 Linux、Windows ) 的 计算 机 或 设备 分 配 人 P 地 址 ; 选中 “ 仅 BOOTP” 


*87。 
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单 选 按钮 将 为 没有 安装 操作 系统 、 处 于 网 络 启动 (如 某 些 无 盘 工 作 站 的 初始 启动 、Windows 部 署 
服务 的 初始 配置 ) 的 计算 机 或 设备 分 配 瑟 地 址 ; 选中 “两 者 ” 单 选 按钮 将 为 所 有 设备 分 配 瑟 地 址 ， 
如 图 3-32 所 示 。 
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图 3-31 作用 域 “ 常 规 ” 选 项 卡 3-32 ”作用 域 “高 级 ”选项 卡 
3.3.4 在 Active Directory 中 授权 


如 果 网 络 使 用 “Active Directory” 进 行 管理 ， 则 DHCP 服务 器 必需 经 过 “授权 ”才能 工作 。 在 
“Active Directory” 服 务 器 上 对 DHCP 服务 器 授权 的 具体 步骤 如 下 。 


0 由 在 “Active Directory” 服 务 器 上 ， 以 Administrator 身份 登录 。 

to3 从 “管理 工具 ”中 运行 “DHCP”， 打 开 “DHCP” 窗 口 。 

03 在 左 侧 窗 格 中 选取 DHCP， 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “管理 授权 的 服务 
器 ”命令 (如 图 3-33 所 示 ) ， 打 开 “ 管 理 授权 的 服务 器 ”对 话 框 ， 单 击 “ 授 权 ” 按 钮 ， 在 弹出 的 
“授权 DHCP 服务 器 ”对 话 框 中 输入 DHCP 服务 器 的 于 地 址 ， 在 弹出 的 “确认 授权 ”对 话 框 中 ， 
单 击 “ 确 定 " 按钮 即 可 。 可 以 对 多 台 DHCP 服务 器 进行 授权 , 也 可 以 在 此 对 话 框 中 解除 对 某 台 DHCP 
服务 器 的 授权 ， 如 图 3-34 所 示 。 
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图 3-33 管理 授权 的 服务 器 图 3-34 添加 DHCP 服务 器 的 地 址 


04) 在 具有 “Active Directory” 的 网 络 中 ， 如 果 DHCP 服务 器 没有 “授权 ”， 是 不 能 为 网 络 
中 的 工作 站 分 配 亿 地址 的 。 
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3.4 ”DHCP 客户 机 的 设置 和 使 用 


配置 完 DHCP 服务 器 后 ， 下 面 来 介绍 如 何 配置 DHCP 客户 端 。 
3.4.1 为 Windows XP 计算 机 启用 DHCP 客户 端 


在 Windows XP、Windows Server 2003 中 ， 将 计算 机 设置 为 DHCP 客户 端的 方式 及 操作 与 
Windows 2000 系统 相同 ， 这 里 不 再 介绍 。 但 从 Windows XP 系统 开始 ， 其 客户 端 支持 “备用 配置 ”。 
在 设置 “备用 配置 ”参数 后 ， 当 DHCP 客户 端 计算 机 不 能 从 DHCP 服务 器 获得 地 址 时 ， 将 会 使 用 

“备用 配置 ”的 参数 ， 具 体 设 置 步骤 如 下 。 


0 和 1 以 管理 员 账户 进入 计算 机 ， 打 开 “ 网 络 连接 ”， 双 击 “ 本 地 连接 ”， 在 打开 的 “本 地 连 
接 属性 ”对 话 框 中 ， 双 击 “Intemet 协议 (TCP/IP) ”， 在 打开 的 “Intemet 协议 (TCP/IP ) 属性 ” 
对 话 框 中 选择 “自动 获得 亿 地 址 ”和 “自动 获得 DNS 服务 器 地 址 ”， 如 图 3-35 所 示 。 
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图 3-35 ”自动 获得 他 地 址 
02) Windows XP 的 计算 机 ， 可 以 通过 打开 “本 地 连接 ”对 话 框 ， 从 “支持 ”选项 卡 中 ， 查 
看 瑟 地 址 等 参数 ， 如 图 3-36 所 示 。 还 可 以 通过 单 击 “ 详 细 信 息 ” 按 钮 ， 查 看 更 多 的 参数 ， 如 DNS、 
WINS 服务 器 地 址 等 ， 如 图 3-37 所 示 。 
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图 3-36 查看 他 地 址 等 参数 3-37 网络 连接 详细 信息 
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而 在 Windows XP 中 ， 通 过 ipconfig 命令 查看 、 释 放 和 重新 获得 地 址 ， 和 在 Windows 2000 中 
相同 ， 在 此 不 再 袭 述 。 


3.4.2 为 Windows 7/2008 启用 DHCP 客户 端 


在 Windows 7、Windows Server 2008 中 ， 启 用 DHCP 客户 端的 步骤 很 简单 ， 只 要 在 “网 络 和 


共享 中 心 ”， 进 入 IP 地 址 设置 对 话 框 ， 选 择 “ 自 动 获得 卫 地 址 ”和 “自动 获得 DNS 地 址 ” 即 可 ， 
如 图 3-38 所 示 。 
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3-38 启用 DHCP 客户 端 


3.4.3 ” ipconfig 命令 


对 于 管理 员 或 高 级 用 户 来 说 ,也 可 以 使 用 ipconfig 命令 ,查看 当前 的 也 地 址 配置 .重新 从 DHCP 


服务 器 获取 卫 地 址 等 。ipconfig 的 常用 命令 及 参数 如 图 3-39 所 示 〔 进 入 命令 提示 符 窗 口 ， 执 行 
ipconfig /all 得 到 ) 。 


var 公 旺 示 挤 定 和 | TCP“IP 的 适配器 的 1tP 地 址 、 子 网 舍 码 和 
全 吉 1 二 生生 人 入， 出 全程 可 天 有 而 类 全 
时 二 seeelassi4， 训 内 未 指定 Class14， 风 全 型 昧 clasald 


图 3-39 ipconfig 命令 
常用 的 ipconfig 命令 参数 有 : 
ipconfig /all: 显 示 当 前 计算 机 所 有 网 卡 的 所 有 网 络 参 数 
pconfig /renew: 更 新 网 卡 的 参数 ， 重 新 获得 新 的 他 地 址 及 参数 


ipconfig /release: 释放 所 有 网 卡 的 连接 
ipconfig /flushdns: 当空 当前 DNS 的 缓存 信息 
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3.5 DNS 概述 


在 网 络 的 初期 , 计算 机 之 间 主 要 用 他 地 址 进行 通信 。 但 随 着 网 络 的 扩大 , IP 地 址 不 容易 记忆 ， 
这 时 引入 了 DNS 概念 。DNS 是 典型 的 “客户 /服务 器 ”网 络 ， 包 括 DNS 客户 端 和 服务 器 端 。DNS 
客户 端 需要 用 DNS 名 称 进行 通信 时 ， 通 过 查找 DNS 服务 器 ， 用 来 获得 DNS 名 称 对 应 的 IP 地 址 ， 
并 将 获得 的 了 P 地 址 用 来 通信 。 

DNS 服务 器 可 以 将 DNS 名 称 解析 成 瑟 地 址 ， 也 可 以 将 人 P 地 址 反 向 解析 成 DNS 名 称 。 本 节 
介绍 Windows Server 2008 中 DNS 服务 器 的 基础 知识 ， 以 及 DNS 的 安装 配置 。 


3.5.1 DNS 服务 器 的 基础 知识 


DNS 是 域名 系统 (Domain Name System) 的 英文 缩写 ， 该 系统 用 于 命名 组 织 到 域 层 次 结构 中 
的 计算 机 和 网 络 服务 。DNS 命名 用 于 局 域 网 、 广 域 网 以 及 Internet 等 TCP/IP 网 络 中 ， 通 过 容易 记 
忆 的 用 户 友好 名 称 查 找 计算 机 和 服务 。 当 用 户 在 应 用 程序 中 输入 DNS 名 称 时 ，DNS 服务 器 可 以 将 
此 名 称 解 析 成 和 之 相对 应 的 其 他 信息 ， 如 瑟 地 址 。 它 也 可 以 将 瑟 地 址 反 向 解析 成 DNS 名 称 。 

例如 ， 多 数 用 户 喜 欢 使 用 友好 的 名 称 〈 如 www.wangchunhai.cn) 来 查找 计算 机 ， 如 网 络 上 的 
邮件 服务 器 或 Web 服务 器 。 友 好 名 称 更 容易 了 解 和 记 住 。 但是, 计算 机 使 用 数字 地 址 (目前 为 IPv4 
的 地 址 ， 采 用 类 似 123.22.33.44 的 格式 ) 在 网 络 上 进行 通信 。 为 了 更 容易 地 使 用 网 络 资源 ，DNS 
等 命名 系统 提供 了 一 种 方法 , 将 计算 机 或 服务 的 用 户 友 好 名 称 映 射 为 数字 地 址 。 图 3-40 显示 了 DNS 
的 基本 用 途 ， 即 根据 易 记 的 计算 机 名 称 查 找 其 卫 地址 。 


DNS 服务 器 数据 库 记 录 


www.wangchunhai.cn——61.55.135.53 


返回 www.wangchunhai.cn 
的 IP 地 址 61.55.135.53 
一 > 
< 和 >》 


查找 www.wangchunhai.en 风 


DNS 客户 端 的 IP 地 址 


DNS 服务 器 
3-40 DNS 服务 器 的 查询 过 程 


在 图 3-40 中 ， 客 户 端 计 算 机 查询 DNS 服务 器 ， 要 求 获得 某 台 计算 机 〈 已 将 其 DNS 域名 配置 
为 wangchunhai.cn) 的 卫 地 址 。 由 于 DNS 服务 器 能 够 根据 其 本 地 数据 库 应 答 此 查询 ， 因 此 ， 它 将 
以 包含 所 请 求 信息 的 应 答 来 回复 客户 端 , 即 一 条 主机 (A) 资源 记录 , 其 中 含有 www.wangchunhai.cn 
的 下 地 址 信息 。 


3.5.2 ”DNS 系统 结构 


DNS 系统 包括 “DNS 域 命名 空间 ”、“DNS 资源 记录 ”、“DNS 服务 器 ”、“DNS 客户 端 ” 
等 四 部 分 ， 其 主要 意义 如 下 : 
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(1) DNS 域 命名 空间 ， 它 指定 用 于 组 织 名 称 的 域 的 层次 结构 。 

(2) DNS 资源 记录 ， 它 将 DNS 域名 映射 到 特定 类 型 的 资源 信息 ， 以 供 在 命名 空间 中 注册 或 
解析 名 称 时 使 用 。 

(3) DNS 服务 器 ， 用 于 存储 和 应 答 资源 记录 的 名 称 查询 。 

(4) DNS 客户 端 ， 也 称 作 解析 程序 ， 用 于 查询 服务 器 ， 以 搜索 并 将 名 称 解析 为 查询 中 指定 的 


1. 了 解 DNS 域 命 名 空间 


如 图 3-41 所 示 ，DNS 域 命名 空间 基于 命名 域 树 的 概念 。 树 的 每 个 等 级 都 可 代表 树 的 一 个 分 支 
或 叶 。 分 支 是 多 个 名 称 被 用 于 标识 一 组 命名 资源 的 等 级 。 叶 代表 在 该 等 级 中 仅 使 用 一 次 来 指明 特定 
资源 的 单个 名 称 。 
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3-41 DNS 域 命名 空间 


在 图 3-41 中 ，DNS 域 命名 空间 的 最 项 端 是 “ 根 ”服务 器 ， 用 一 个 英文 的 句点 表示 ， 下 面 是 顶 
级 域 和 国家 域 ， 用 来 代表 不 同 的 机 构 和 国家 例如 ，.com 表示 商业 性 的 公司 ) 。 在 顶级 域名 下 面 
可 以 注册 域名 ， 如 本 书 作 者 个 人 的 域名 “wangchunhai.cn ”就 是 在 “.cn” 下 注册 的 域名 ， 而 
“www.wangchunhai.cn” 是 在 “wangchunhai.cn” 的 域名 中 注册 的 A 记录 。 如 果 在 “wangchunhai.cn” 
下 注册 域名 ， 则 表示 “wangchunhai.cn” 下 的 “二 级 域名 ”。 在 “二 级 域名 ”下 还 可 以 注册 其 他 

2. 如 何 组 织 DNS 域 命名 空间 


在 树 中 使 用 的 任何 DNS 域名 从 技术 上 说 都 是 域 。 但 是 ， 大 多 数 对 DNS 的 讨论 都 是 以 5 种 方 
式 之 一 标识 名 称 , 它 以 名 称 常用 的 等 级 和 方式 为 基础 。 例如, 注册 到 wangchunhai (wangchunhai.cn) 
的 DNS 域名 称 作 二 级 域 。 这 是 因为 该 名 称 有 两 个 部 分 〈 称 作 标号 ) ， 这 两 个 部 分 显示 它 比 树 的 项 
级 或 根 低 两 个 等 级 。 大 多 数 DNS 域名 有 两 个 或 多 个 标号 ， 每 一 个 都 表示 树 中 的 新 等 级 。 名 称 中 使 
用 句点 分 隔 标 号 。 

除 二 级 域 之 外 ， 表 3-2 介绍 了 根据 其 在 命名 空间 中 的 功能 来 描述 DNS 域名 所 用 的 其 他 术语 。 
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表 3-2 DNS 术语 


名 称 类 型 


描述 


示例 


域 根 


这 是 树 的 项 级 ， 它 表示 未 命名 的 等 级 。 它 有 时 显示 为 两 个 
空 引号 〈"")， 以 表示 空 值 。 在 DNS 域名 中 使 用 时 ， 它 由 尾 
部 句点 (.) 表示 ， 以 指定 该 名 称 位 于 域 层次 结构 的 最 高 层 或 
根 。 在 这 种 情况 下 , DNS 域名 被 认为 是 完整 名 称 并 指向 名 称 
树 中 的 确切 位 置 。 以 这 种 方式 表示 的 名 称 称 作 完全 限定 的 域 
名 (FQDN) 


在 名 称 末尾 使 用 的 单个 句点 〈.)， 如 
“www.wangchunhai.cn.” 


顶级 域 


由 两 三 个 字母 组 成 的 名 称 用 于 指示 国家 /地 区 或 使 用 名 称 的 
单位 类 型 。 详 细 信息 参阅 表 3-3 


“com"， 它 表示 在 Intemet 上 从 事 商业 活动 
的 公司 注册 的 名 称 


二 级 域 


为 了 在 Intemet 上 使 用 而 注册 到 个 人 或 单位 的 长 度 可 变 名 
称 。 这 些 名 称 始终 基于 相应 的 项 级 域 , 这 取决 于 单位 的 类 型 
或 使 用 的 名 称 所 在 的 地 理 位 置 


“zhangs.wangchunhai.cn.“"， 它 是 由 Intemet 
DNS 域名 注册 人 员 注 册 到 wangchunhai 的 
二 级 域名 


子 域 


主机 或 资 
源 名 称 


单位 可 创建 的 其 他 名 称 , 这 些 名 称 从 已 注册 的 二 级 域名 中 派 
生 。 包 括 为 扩大 单位 中 名 称 的 DNS 树 而 添加 的 名 称 ， 并 将 
其 分 为 部 门 或 地 理 位 置 

代表 名 称 的 DNS 树 中 的 叶 节点 并 且 标 识 特定 资源 的 名 称 。 
DNS 域名 最 左边 的 标号 一 般 标识 网 络 上 的 特定 计算 机 。 例 
如 ， 如 果 位 于 该 层 的 名 称 在 主机 A) 资源 记录 (RR) 中 使 
用 ， 则 可 以 根据 其 主机 名 搜索 计算 机 的 IP 地 址 


“zhangs.wangchunhai.cn." 是 由 wangchunhai 
指派 的 虚拟 子 域 ， 用 于 文档 示例 名 称 中 


“www.zhangs.wangchunhai.cn.”, 其 中 第 一 个 
标号 (“www”) 是 网 络 上 特定 计算 机 的 DNS 


主机 名 


表 3-3 是 在 Intemet 常用 的 顶级 域 列表 ， 组 织 注册 二 级 域名 时 通过 类 型 对 这 些 组 织 进 行 分 类 。 
例如 ，microsoft.com〔 注 册 到 Microsoft 的 二 级 域名 ) 在 “com" 域 注册 ， 因 为 这 是 为 在 Intemet 上 从 
事 商业 活动 的 单位 提供 的 顶级 域 。 


表 3-3 Internet 常用 的 顶级 域 列表 
顶级 名 称 | 描述 
arpa 属于 美国 国防 部 高 级 研究 计划 局 (ARPA)。 为 Intemet 上 使 | in-addrarpa 域 
用 Internet 分 配 编号 机 构 (IANA) 分 配给 DNS 域名 的 、 
Intemet 协议 版 本 4 (IPv4) 地 址 的 计算 机 ， 注 册 这 些 地 址 的 
反 向 映射 
com 供 商业 组 织 使 用 
供 教育 机 构 使 有 
gov 供 政府 机 构 使 用 
int 保留 供 国际 组 织 使 用 。 目 前 计划 在 RFC 1886 中 使 用 ,为 在 | ip6.int 域 
Intemet 上 使 用 IANA 分 配给 在 ip6.int 域 中 DNS 域名 的 | 
Intemet 协议 版 本 6 (IPv6) 地 址 的 计算 机 注册 这 些 反 向 映射 
美国 空军 及 其 他 军事 机 构 
net 供 提 供 大 规模 Intemet 或 电话 服务 的 组 织 使 用 InterNIC、AT&T、 其 他 大 规模 Intemet 和 
电话 服务 提供 商 
om 供 非 商业 、 非 到 利 单位 使 用 教堂 和 慈善 机 构 
a 代表 中 国 Eo = == 
3. 解释 DNS 域名 


DNS 有 一 种 标注 和 解释 DNS 域名 完全 合格 路 径 的 方法 , 类 似 于 在 命令 提示 符 下 标注 或 显示 文 
件 、 目 录 完 整 路径 的 方法 。 
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例如 ， 目 录 树 路 径 有 助 于 指向 文件 存储 在 计算 机 上 的 确切 位 置 。 对 于 Windows 计算 机 ， 反 和 斜 
杠 〈\) 指示 通 向 确切 的 文件 位 置 的 每 个 新 目录 。 对 于 DNS， 相 当 于 名 称 中 使 用 的 每 个 新 域 等 级 的 
句点 (.) 。 

例如 ， 对 于 名 为 Services 的 文件 ， 在 Windows 命令 提示 符 下 显示 的 该 文件 的 完整 路 径 应 为 : 
C:\Windows\System32\Drivers\Etc\Services。 

要 解释 文件 的 完整 路 径 ， 需 要 按照 从 左 到 右 的 顺序 读 名 称 ， 从 最 高 或 最 概括 的 信息 段 (存储 
文件 的 驱动 器 C) 到 最 具体 的 信息 ， 文 件 名 “Services”。 下 面 的 例子 显示 了 层次 结构 中 指向 驱动 
器 C 上 Services 文件 位 置 的 5 个 独立 等 级 : 

(1) 驱动 器 C 的 根 目录 文件 夹 (CA\) 。 

(2) 安装 Windows 的 系统 根 目录 文件 夹 (Windows) 。 

(3) 存储 系统 组 件 的 系统 文件 夹 (System32) 。 

(4) 存储 系统 设备 驱动 程序 的 子 文件 夹 (Drivers) 。 

(5) 存储 系统 和 网 络 设备 驱动 程序 所 用 的 各 种 文件 的 子 文件 夹 (Etc) 。 

对 于 DNS, 带 有 多 级 域名 的 示例 如 下 ， 即 完全 限定 的 域名 (FQDN) : host-a.example.microsoft. 
com。 
和 文件 名 示例 不 同 的 是 ， 当 从 左 到 右 读 取 时 ，DNS FQDN 从 其 最 具体 信息 (名 为 “host-a” 的 
计算 机 的 DNS 名 称 ) 移 至 其 最 高 或 最 概括 的 信息 段 〈 尾 部 句点 〈.) 指示 DNS 名 称 树 的 根 ) 。 该 
例 显示 了 从 “host-a” 特 定 主机 位 置 开 始 的 4 个 独立 DNS 域 等 级 : 

(1) “example” 域 ， 对 应 于 计算 机 名 “host-a” 注 册 使 用 的 子 域 。 

(2) “microsoft” 域 ， 对 应 于 确定 “example” 子 域 的 父 域 。 

(3) “com” 域 ， 对 应 于 由 确定 “microsoft” 域 的 公司 或 商业 单位 指派 使 用 的 项 级 域 。 

(4) 尾部 句点 (.) 是 一 个 标准 的 分 隔 符 字符 ， 可 用 于 使 完整 DNS 域名 限定 到 DNS 命名 空间 
树 的 根 级 。 


4. 有 关 DNS 和 Internet 的 背景 


由 于 需要 为 mnternet 上 的 计算 机 提供 名 称 到 地 址 的 映射 服务 ， 因 此 开发 了 域名 系统 (DNS) 。 
在 1987 年 引入 DNS 之 前 ， 将 容易 记忆 的 计算 机 名 称 映射 到 瑟 地 址 的 作法 ， 主 要 通过 使 用 称 作 主 
机 文件 的 共享 静态 文件 来 进行 。 


说 明 
这 个 文件 在 Windows 计算 机 中 ， 保 存在 hosts 文本 文件 中 ， 通 常 在 c:\windows\system32\drivers\ 
etc\hostso 


最 初 Internet 非常 小 ， 仅 使 用 一 个 集中 管理 的 文件 就 可 以 通过 FTP 为 连 入 Intemet 的 站 点 发 布 
和 下 载 内 容 。 每 个 Internet 站 点 将 定期 地 更 新 其 主机 文件 的 副本 并 且 发 布 主机 文件 的 更 新 版 本 来 反 
映 网 络 的 变化 。 


当 Intemet 上 的 计算 机 数 增加 时 ， 通 过 一 个 中 心 授权 机 构 ， 为 所 有 Intemet 主机 管理 一 个 主机 
文件 的 工作 将 无 法 进行 。 文件 会 随 着 时 间 的 推移 而 增 大 , 这 样 按 当前 更 新 的 形式 维持 文件 以 及 将 文 
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件 分 配 至 所 有 站 点 将 更 加 困难 。 

制定 DNS 标准 为 主机 文件 提供 可 供 选 择 的 方案 。RFC1034 和 1035 指定 大 多 数 核 心 协 议 ， 并 
且 RFC1034 和 1035 已 添加 至 提交 给 Internet 工程 任务 组 (IETF) 的 其 他 RFC 中 ， 并 由 其 他 RFC 
更 新 。IETF 将 继续 审阅 和 通过 新 的 草案 ， 所 以 DNS 的 标准 会 根据 用 户 需要 不 断 发 展 和 变化 。 


(1 ) DNS 域名 在 每 个 级 别 都 要 求 是 惟一 的 ， 但 是 单独 的 名 称 标号 可 在 其 他 域 中 重新 使 用 。 例 如 ， 
名 称 “mailserver” 只 能 在 example.microsoft.com 和 microsoft.com 域 中 使 用 一 次 。 


(2 ) 支持 将 主机 文件 作为 把 主机 DNS 域名 映射 到 其 IP 地 址 的 本 地 静态 文件 。 启 动 DNS 客户 端 服 
务 时 ， 它 会 将 添加 到 该 文件 的 所 有 了 映射 的 项 目 预 载 到 本 地 DNS 名 称 缓存 中 。 

(3 ) 在 %systemroot%\system32\drivers\etc\hosts 文件 夹 中 提供 了 主机 文件 。 要 查看 或 修改 该 文件 ， 
可 使 用 记事 本 程序 或 其 他 文本 编辑 器 。 


3.5.3 ”DNS 查询 的 工作 过 程 和 原理 


当 DNS 客户 端 需要 查询 程序 中 使 用 的 名 称 时 , 它 会 查询 DNS 服务 器 来 解析 该 名 称 。 客 户 端 发 
送 的 每 条 查询 消息 都 包括 三 条 信息 ， 指 定 服务 器 回答 的 问题 : 


@ 指定 的 DNS 域名， 规定 为 完全 合格 的 域名 (FQDN ) 。 
@ 指定 的 查询 类 型 ， 可 根据 类 型 指定 资源 记录 ， 或 者 指定 查询 操作 的 专用 类 型 。 
@ DNS 域名 的 指定 类 别 。 


对 于 Windows DNS 服务 器 ， 它 始终 应 指定 为 Intemet (IN) 类 别 。 例 如 ， 指 定 的 名 称 可 为 计算 
机 的 FQDN， 如 host-a.example.microsoft.com， 并 且 指 定 的 查询 类 型 用 于 通过 该 名 称 搜索 地 址 A 资 
源 记 录 。 将 DNS 查询 看 作客 户 端 向 服务 器 询问 ， 由 两 部 分 组 成 的 问题 ， 如 “您 是 否 拥有 名 为 

“hostname.example.microsoft.com 的 计算 机 的 A 资源 记录 ?” 当 客户 端 收 到 来 自 服务 器 的 应 答 时 ， 
它 将 读 取 并 解释 应 答 的 A 资源 记录 ， 获 取 根 据 名 称 询问 的 计算 机 的 下 地 址 。 

DNS 查询 以 各 种 不 同 的 方式 进行 解析 。 有 时 ， 客 户 端 也 可 使 用 先前 查询 获得 的 缓存 信息 在 本 
地 应 答 查询 。DNS 服务 器 可 使 用 其 自身 的 资源 记录 信息 缓存 来 应 答 查询 。DNS 服务 器 也 可 代表 请 
求 客户 端 查询 或 联系 其 他 DNS 服务 器 ， 以 便 完全 解析 该 名 称 ， 并 随后 将 应 答 返 回 至 客户 端 。 这 个 
过 程 称 为 递归 。 

另外 ， 客 户 端 自己 也 可 尝试 联系 其 他 DNS 服务 器 来 解析 名 称 。 当 客户 端 执行 此 操作 时 ， 它 会 
根据 来 自 服务 器 的 参考 答案 ， 使 用 其 他 独立 查询 。 这 个 过 程 称 为 迭代 。 

总 之 ，DNS 查询 进程 分 两 部 分 进行 : 


日 名 称 查 询 从 客户 端 计算 机 开始 ， 并 传输 至 解析 程序 ， 即 DNS 客户 端 服务 程序 进行 解析 。 
。 不 能 在 本 地 解析 查询 时 ， 可 根据 需要 查询 DNS 服务 器 来 解析 名 称 。 


下 面 将 详细 地 解释 这 两 个 过 程 。 
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1. 本 地 解析 程序 
图 3-42 显示 了 完整 的 DNS 查询 进程 。 


EE Fe 
! 很 目录 ，; 


: 提示 文件 ， 
' (Cache, dns) 


, 区 域 ' 

on 和 大地 pns 服务 吕 
2 mm : 力 
ET 外 四 

本 一 四 ， 

: ! 曾 ; 

DNS 

主机 文件 ; 服务 器 : 

' 组 存 ， 


图 3-42 DNS 查询 进程 


在 图 3-42 中 ，DNS 域名 由 本 机 的 程序 使 用 。 该 请 求 随后 传输 至 DNS 客户 端 服务 ， 以 便 使 用 
本 地 缓存 信息 进行 解析 。 如 果 可 以 解析 查询 的 名 称 ， 则 应 答 该 查询 ， 该 进程 完成 。 
本 地 解析 程序 的 缓存 可 包括 从 两 个 可 能 的 来 源 获取 的 名 称 信息 : 


@。 如 果 在 本 地 配置 主机 文件 ， 则 来 自 该 文件 的 任何 主机 名 称 到 地 址 的 映射 ， 在 DNS 客户 端 
服务 启动 时 将 预先 加 载 到 缓存 中 。 
日 从 以 前 的 DNS 查询 应 答 的 响应 中 获取 的 资源 记录 ， 将 被 添加 至 缓存 并 保留 一 段 时 间 。 


如 果 此 查询 和 缓存 中 的 项 目 不 匹 配 ， 则 解析 过 程 继续 进行 ， 客 户 端 查询 DNS 服务 器 来 解 
析 名 称 。 


2. 查询 DNS 服务 器 


当 DNS 服务 器 接收 到 查询 时 ， 首 先 检查 它 能 否 根 据 在 服务 器 的 本 地 配置 区 域 中 获取 的 资源 记 
录 信 息 作出 权威 性 的 应 答 。 如 果 查 询 的 名 称 和 本 地 区 域 信息 中 的 相应 资源 记录 匹配 , 则 使 用 该 信息 
来 解析 查询 的 名 称 ， 服 务 器 作出 权威 性 的 应 答 。 

如 果 区 域 信 息 中 没有 查询 的 名 称 ， 则 服务 器 检查 它 能 否 通过 先前 查询 的 本 地 缓存 信息 来 解析 
该 名 称 。 如 果 从 中 发 现 匹 配 的 信息 ， 则 服务 器 使 用 该 信息 应 答 查询 。 接 着 ， 如 果 首 选 服务 器 可 使 用 
来 自 其 缓存 的 完全 匹配 响应 来 应 答 发 出 请 求 的 客户 端 ， 则 此 次 查询 完成 。 

如 果 查 询 名称 在 首选 服务 器 中 未 发 现 来 自 缓存 或 区 域 信息 的 匹配 应 答 ， 则 查询 进程 可 继续 进 
行 ， 使 用 递归 来 完全 解析 名 称 。 这 涉及 来 自 其 他 DNS 服务 器 的 支持 ， 以 帮助 解析 名 称 。 在 默认 情 
况 下 ，DNS 客户 端 服 务 要 求 服务 器 在 返回 应 答 之 前 ， 使 用 递归 过 程 来 代表 客户 端 完 全 解析 名 称 。 
在 大 多 数 情况 下 ，DNS 服务 器 默认 配置 为 支持 递归 过 程 ， 如 图 3-43 所 示 。 

为 了 使 DNS 服务 器 正确 执行 递归 过 程 ， 首 先 需要 使 用 DNS 域 命名 空间 内 有 关 其 他 DNS 服务 
器 的 一 些 有 用 的 联系 信息 。 该 信息 以 根 提示 的 形式 提供 ， 它 是 一 个 初始 资源 记录 列表 ，DNS 服务 
可 利用 这 些 记录 定位 其 他 DNS 服务 器 , 它们 对 DNS 域 命名 空间 树 的 根 具有 绝对 控制 权 。 根 服务 器 
对 于 DNS 域 命名 空间 树 中 的 根 域 和 项 级 域 具有 绝对 控制 权 。 
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DNS 客户 端 


图 3-43 查询 DNS 服务 器 过 程 


使 用 根 提 示 查 找 根 服务 器 ，DNS 服务 器 可 完成 递归 的 使 用 。 理 论 上 ， 该 进程 将 启用 DNS 服务 
器 ， 以 定位 那些 对 域 命名 空间 树 的 任何 级 别 使 用 的 任何 其 他 DNS 域名 具有 绝对 控制 权 的 服务 器 。 

例如 ， 当 客户 端 查询 单个 DNS 服务 器 时 ， 考虑 使 用 递归 过 程 来 定位 名 称 
host-b.example.microsoft.com。 在 DNS 服务 器 和 客户 端 首次 启动 ， 并 且 没 有 本 地 缓存 信息 可 帮助 解 
析 名 称 查 询 时 ， 就 会 进行 上 述 过 程 。 根 据 其 配置 的 区 域 ， 它 假定 由 客户 端 查询 的 名 称 是 域名 ， 该 服 
务 器 在 本 地 不 包含 有 关 该 域名 的 信息 。 

首先 , 选择 服务 器 分 析 全 名 并 确定 对 于 顶级 域 “com” 具 有 绝对 控制 权 的 服务 器 的 位 置 。 其 次 ， 
对 “com”DNS 服务 器 使 用 迭代 查询 ， 以 获取 “microsoft.com” 服 务 器 的 参考 信息 。 然 后 ， 参 考 应 
答 从 “microsoft.com” 服 务 器 传送 到 “example.microsoft.com” 的 DNS 服务 器 。 最 后 ， 与 服务 器 
example.microsoft.com 建立 联系 。 因 为 该 服务 器 包括 作为 其 配置 区 域 一 部 分 的 查询 名 称 ， 所 以 它 向 
启动 递归 的 源 服务 器 作出 权威 性 的 应 答 。 当 源 服务 器 接收 到 表明 已 获得 对 请 求 查询 的 权威 性 应 答 的 
响应 时 ， 它 将 此 应 答 转发 给 发 出 请 求 的 客户 端 ， 这 样 递归 查询 过 程 就 完成 了 。 

尽管 执行 上 述 递归 查询 过 程 可 能 需要 占用 大 量 资源 ， 但 对 于 DNS 服务 器 来 说 它 仍然 具有 一 些 
性 能 上 的 优势 。 例 如 , 在 递归 过 程 中 , 执行 递归 查询 的 DNS 服务 器 可 获得 有 关 DNS 域 命名 空间 的 
信息 。 该 信息 由 服务 器 缓存 起 来 并 可 再 次 使 用 ， 以 便 提高 使 用 此 信息 或 和 之 匹配 的 后 续 查询 的 应 答 
速度 。 随 着 时 间 的 推移 ， 这 些 缓存 信息 会 不 断 增加 并 占据 大 量 的 服务 器 内 存 资源 ， 不 过 每 次 DNS 
服务 重新 启动 时 这 一 信息 将 被 清除 。 


3. 可 选 的 查询 响应 


以 前 对 DNS 查询 的 讨论 ， 都 假定 此 过 程 在 结束 时 会 向 客户 端 返回 一 个 肯定 的 响应 。 然 而 ， 查 
询 也 可 返回 其 他 应 答 。 最 常见 的 应 答 有 : 


@ 权威 性 应 答 : 权威 性 应 答 是 返回 至 客户 端的 肯定 应 答 ， 并 随 DNS 消息 中 设置 的 “授权 机 
构 ” 位 一 同 发 送 ， 消 息 指出 此 应 答 是 从 带 直 接 授权 机 构 的 服务 器 获取 的 。 

@ 肯定 应 答 : 肯定 应 答 可 由 查询 的 RR 或 RR 列表 (也 称 作 RRset) 组 成 ， 它 和 查询 的 DNS 
域名 和 查询 消息 中 指定 的 记录 类 型 相符 。 

@ 参考 性 应 答 : 参考 性 应 答 包括 查询 中 名 称 或 类 型 未 指定 的 其 他 资源 记录 。 如 果 不 支持 递归 
过 程 ， 则 这 类 应 答 将 返回 至 客户 端 。 这 些 记录 的 作用 是 为 了 提供 一 些 有 用 的 参考 性 应 答 ， 
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客户 端 可 使 用 参考 性 应 答 继续 进行 递归 查询 。 参 考 性 应 答 包 含 其 他 数据 ， 如 不 属于 查询 类 
型 的 资源 记录 (RR) 。 例如， 如 果 查 询 主机 名 称 为 “www” 并 且 在 这 个 区 域 未 找到 该 名 
称 的 ARR， 而 是 找到 了 “www” 的 CNAMERR， 则 DNS 服务 器 在 响应 客户 端 时 可 包含 该 
信息 。 

如 果 客 户 端 能 够 使 用 迭代 过 程 ， 则 它 可 使 用 这 些 参 考 性 信息 为 自己 进行 其 他 查询 ， 以 便 完 全 

解析 此 名 称 。 

@ 否定 应 答 : 来 自 服务 器 的 否定 应 答 可 以 表明 ， 当 服务 器 试图 处 理 并 且 权威 性 地 彻底 解析 查 
询 的 时 候 ， 遇 到 的 两 种 可 能 的 结果 : 
> ”权威 性 服务 器 报告 : 在 DNS 命名 空间 中 没有 查询 的 名 称 。 
> ”权威 性 服务 器 报告 : 查询 的 名 称 存在 ， 但 该 名 称 不 存在 指定 类 型 的 记录 。 


以 肯定 或 否定 响应 的 形式 ， 解 析 程 序 将 查询 结果 传 回 请 求 程序 并 把 响应 消息 缓存 起 来 。 


e@ 如 果 查 询 的 最 终 应 答 太 长 而 不 能 在 一 个 UDP 消息 数据 包 中 发 送 和 解析 ， 则 DNS 服务 器 可 
以 在 TCP 端口 53 上 发 送 故障 转移 响应 消息 ， 以 便 在 TCP 连接 会 话 中 完全 应 答 客户 端 。 

e@ 当 限定 DNS 客户 端的 名 称 解析 到 特定 的 DNS 服务 器 ( 如 Intranet 上 的 DNS 服务 器 ) 的 时 
候 ， 系 统 通常 会 禁止 在 DNS 服务 器 上 使 用 递归 。 当 DNS 服务 器 不 能 解析 外 部 DNS 名 称 
的 时 候 ， 可 能 也 会 禁用 递归 ， 而 且 期 望 客户 端 故障 转移 到 其 他 DNS 服务 器 ， 以 便 解 析 这 
些 名 称 。 在 相应 服务 器 的 DNS 控制 台中 ， 可 以 在 “高 级 ”属性 中 进行 配置 ， 以 禁用 递归 。 

e@ 如果 在 DNS 服务 器 上 禁用 递归 ， 那 么 将 无 法 在 同一 服务 器 上 使 用 转发 器 。 

e@ 默认 情况 下 ， 在 执行 递归 查询 并 联系 其 他 DNS 服务 器 时 ，DNS 服务 器 使 用 若干 默认 的 时 
间 设 置 。 它 们 是 : 
> 3 秒 的 递归 重 试 间隔 : 这 是 DNS 服务 在 递归 查询 期 间 重 试 查询 之 前 等 候 的 时 间 长 度 。 
> 15 秒 的 递归 超时 间隔 : 这 是 DNS 服务 在 重 试 的 递归 查询 失败 之 前 等 候 的 时 间 长 度 。 


在 大 多 数 情况 下 ， 这 些 参 数 不 需要 进行 调整 。 但 是 ， 如 果 在 慢 速 广域网 链 路 上 使 用 递归 查询 ， 
那么 或 许可 通过 对 设置 略 作 调整 ， 来 改善 服务 器 的 性 能 ， 加 快 查询 的 完成 速度 。 

4. 和 迭代 的 工作 原理 

和 迭代 是 在 以 下 条 件 生效 时 ，DNS 客户 端 和 服务 器 之 间 使 用 的 名 称 解析 类 型 : 


@ 客户 端 申 请 使 用 递归 过 程 ， 但 在 DNS 服务 器 上 人 禁用 递归 。 
ee 查询 DNS 服务 器 时 客户 端 没有 申请 使 用 递归 。 


来 自 客户 端的 迭代 请 求 告 知 DNS 服务 器 :客户 端 希望 直接 从 DNS 服务 器 那里 得 到 最 好 的 应 答 ， 
无 须 联系 其 他 DNS 服务 器 。 

使 用 从 代 时 ，DNS 服务 器 根据 它 自身 对 和 查询 的 名 称 数据 有 关 的 命名 空间 的 特定 知识 应 答 客 
户 端 , 例如 ， 如 果 Intermet 上 的 DNS 服务 器 接收 到 来 自 本 地 客户 端 “www.microsoftcom” 的 查询 ， 
则 可 能 会 返回 来 自 其 名 称 缓存 的 应 答 。 如 果 查 询 的 名 称 当 前 未 存储 在 服务 器 的 名 称 缓存 中 , 则 服务 
器 可 能 会 通过 提供 参考 信息 对 客户 端 作出 响应 , 即 提供 一 张 和 客 户 端 所 查询 的 名 称 比较 接近 的 其 他 
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DNS 服务 器 的 NS 和 A 资源 记录 列表 。 

在 形成 参考 信息 的 时 候 ， 假 定 DNS 客户 端 负责 向 其 他 配置 的 DNS 服务 器 继续 进行 递归 查询 ， 
以 便 解 析 该 名 称 。 例 如 ， 在 大 多 数 情 况 下 ，DNS 客户 端 可 能 会 将 其 搜索 扩展 到 Intemet 上 的 根 域 服 
务 器 ， 以 定位 对 于 “com” 域 具有 绝对 控制 权 的 DNS 服务 器 。 一 旦 联系 上 Internet 根 服务 器 ， 它 就 
会 从 指向 “microsoft.com” 域 的 实际 Intermet DNS 服务 器 中 获得 进一步 的 递归 响应 。 当 客户 端 收 到 
这 些 DNS 服务 器 的 记录 时 ， 可 以 向 nternet 上 的 外 部 Microsoft DNS 服务 器 发 送 其 他 迭代 查询 ， 它 
们 可 以 提供 肯定 和 权威 性 的 应 答 。 

使 用 迭代 时 ， 除 了 向 客户 端 提供 最 好 的 应 答 外 ，DNS 服务 器 还 可 在 名 称 查询 解析 中 提供 进 一 
步 的 帮助 。 对 于 大 部 分 迭代 查询 ， 如 果 它 的 主 DNS 不 能 辨识 该 查询 ， 那 么 客户 端 使 用 本 地 配置 的 
DNS 服务 器 列表 ， 在 整个 DNS 命名 空间 中 联系 其 他 名 称 服 务 器 。 


5. 缓存 的 工作 原理 


DNS 服务 器 采用 递归 或 迭代 来 处 理 客 户 端 查询 时 , 它们 将 发 现 并 获得 大 量 有 关 DNS 命名 空间 
的 重要 信息 ， 这 些 信息 由 服务 器 缓存 。 

缓存 为 DNS 解析 名 称 的 后 续 查询 提供 了 加 速 性 能 的 方法 ， 同 时 大 大 减少 了 网 络 上 和 DNS 相 
关 的 查询 通信 量 。 

当 DNS 服务 器 代表 客户 端 进行 递归 查询 时 ， 它 们 将 暂时 缓存 资源 记录 (RR) 。 缓 存 的 RR 包 
含 从 DNS 服务 器 获得 的 信息 ， 对 于 进行 夫 代 查询 以 便 搜索 和 充分 应 答 代 表 客户 端 所 执行 的 递归 查 
询 过 程 中 所 获知 的 DNS 域名 而 言 ， 此 信息 具有 绝对 的 权威 性 。 稍 后 ， 当 其 他 客户 端 发 出 新 的 查询 ， 
请 求 和 缓存 的 RR 匹配 的 RR 信息 时 ，DNS 服务 器 可 以 使 用 缓存 的 RR 信息 来 应 答 它们 。 

当 信息 缓存 时 ， 生 存 时 间 〈TTL) 值 适 用 于 所 有 缓存 的 RR。 只 要 缓存 RR 的 TITL 没有 到 期 ， 
DNS 服务 器 就 可 继续 缓存 并 再 次 使 用 RR 来 应 答 和 这 些 RR 相 匹 配 的 客户 端 提出 的 查询 ,将 大 部 分 
区 域 配置 中 RR 所 用 的 缓存 TTL 值 指定 为 “最 小 的 〈 默 认 ) TTL”, 它 被 设置 为 用 于 区 域 的 起 始 授 
权 机 构 (SOA) 资源 记录 。 在 默认 情况 下 ， 最 小 的 TIL 为 3600 秒 (1 小 时 ) ， 但 可 以 进行 调整 ， 
也 就 是 说 如 果 需 要 可 以 在 每 个 RR 上 分 别 设置 各 自 的 缓存 TTL。 


(1 ) 可 将 DNS 服务 器 安装 为 仅 用 于 缓存 服务 器 。 


( 2 ) 默认 情况 下 ，DNS 服务 器 使 用 根 提示 文件 Cache.dns ， 该 文件 存储 在 服务 器 计算 机 的 
%systemroot%\System32\Dns 文件 夹 中 。 当 服务 启动 时 ， 该 文件 的 内 容 预先 加 载 到 服务 器 存储 区 ， 并 包含 
运行 DNS 服务 器 所 在 的 DNS 命名 空间 的 根 服务 器 的 指针 信息 。 


3.5.4 DNS 的 反 向 查找 


在 大 部 分 的 DNS 查找 中 ， 客 户 端 一 般 执行 正 向 查找 。 正 向 查找 是 基于 存储 在 地 址 (A) 资源 
记录 中 的 另 一 台 计 算 机 的 DNS 名 称 的 搜索 。 这 类 查询 希望 将 人 P 地 址 作为 应 答 的 资源 数据 。 

DNS 也 提供 反 向 查找 过 程 ， 允 许 客 户 端 在 名 称 查询 期 间 使 用 已 知 的 了 P 地 址 ， 并 根据 它 的 地 址 
查找 计算 机 名 。 反 向 查找 采取 问答 形式 , 如 “您 能 告诉 我 使 用 也 地 址 192.168.1.20 的 计算 机 的 DNS 
名 称 吗 ? ” 


第 1 篇 基础 服务 配置 管理 与 应 用 


DNS 最 初 在 设计 上 并 不 支持 这 类 查询 。 支 持 反 向 查询 过 程 可 能 存在 一 个 问题 , 即 DNS 名 称 空 
间 如 何 组 织 和 索引 名 称 ， 卫 地 址 如 何 分 配 ， 这 些 方面 都 有 差别 。 如 果 回 答 以 前 问题 的 惟一 方式 是 
在 DNS 名 称 空间 中 的 所 有 域 中 搜索 ， 那 么 反 向 查询 必需 花 很 长 时 间 ， 需 要 进行 很 多 处 理 ， 才 能 
正 有 用 。 

为 了 解决 该 问题 , 在 DNS 标准 中 定义 了 特殊 域 in-addr.arpa 域 ， 并 保留 在 Intermet DNS 名 称 空 
间 中 ， 以 便 提供 切实 可 靠 的 方式 执行 反 向 查询 。 为 了 创建 反 向 名 称 空间 ，in-addr.arpa 域 中 的 子 域 
是 按照 带 点 的 十 进 制 表 示 法 编号 的 了 P 地 址 的 相反 顺序 构造 的 。 

因为 和 DNS 名 称 不 同 ， 当 从 左 向 右 读 取 他 地 址 时 , 它们 是 以 相反 的 方式 解释 的 ， 所 以 需要 将 
域 中 的 每 个 八 位 字 节 数值 反 序 排列 。 从 左 向 右 读 瑟 地 址 时 ， 读 取 顺 序 是 从 地 址 的 第 一 部 分 一 般 的 
信息 (IP 网 络 地 址 ) 到 最 后 八 位 字 节 中 包含 的 更 具体 的 信息 (CIP 主机 地 址 ) 。 

因此 ,创建 in-addr.arpa 域 树 的 时 候 , IP 地 址 八 位 字 节 的 顺序 必需 倒置 。DNS in-addr.arpa 树 的 
IP 地 址 可 以 委派 给 某 些 公司 ， 因 为 已 为 它们 分 配 了 Intemet 定义 的 地 址 类 内 特定 的 或 有 限 的 他 地 
址 集 。 

最 后 ， 在 DNS 中 建立 的 in-addr.arpa 域 树 要 求 定义 其 他 资源 记录 (RR) 类 型 ， 如 指针 (PTR) 
RR。 这 种 RR 用 于 在 反 向 查找 区 域 中 创建 映射 , 它 一 般 对 应 于 其 正 向 查找 区 域 中 , 某 一 主机 的 DNS 
名 的 主机 (A) 命名 的 RR。 


3.5.5 DNS 转发 器 


转发 器 是 网 络 上 的 域名 系统 (DNS) 服务 器 ， 用 来 将 外 部 DNS 名 称 的 DNS 查询 转发 给 该 网 
络 外 的 DNS 服务 器 。 也 可 使 用 “条 件 转发 器 ”按照 特定 域名 转发 查询 。 

通过 网 络 中 的 其 他 DNS 服务 器 将 它们 在 本 地 无 法 解析 的 查询 转发 给 网 络 上 的 DNS 服务 器 ， 
该 DNS 服务 器 即 被 指定 为 转发 器 。 使 用 转发 器 可 管理 网 络 外 的 名 称 解 析 〈 如 Internet 上 的 名 称 ) ， 
并 改进 网 络 中 计算 机 的 名 称 解析 效率 。 

图 3-44 显示 了 如 何 使 用 转发 器 定向 外 部 名 称 查询 。 


被 查询 外 部 名 称 的 
转发 器 DNS Intemet DNS 服务 器 
服务 器 ( 多 主 ) 


图 3-44 使 用 DNS 转发 器 


如 果 没 有 将 特定 DNS 服务 器 指定 为 转发 器 ， 则 所 有 DNS 服务 器 都 能 够 使 用 其 根 提示 向 网 络 
外 发 送 查询 。 这 样 ， 许 多 内 部 可 能 非常 重要 的 DNS 信息 都 会 暴露 在 Intemet 上 。 除 了 安全 和 隐私 
问题 ， 该 解析 方法 还 会 导致 大 量 外 部 通信 ， 这 种 通信 费用 昂贵 ， 将 导致 mtemet 连接 的 网 络 速度 很 
慢 或 Pntemet 服务 成 本 很 高 、 公 司 效率 低下 。 
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将 DNS 服务 器 指定 为 转发 器 时 ， 转 发 器 将 负责 处 理 外 部 通信 ， 从 而 将 DNS 服务 器 有 限 地 暴 
露 给 Intemet。 转 发 器 将 建立 外 部 DNS 信息 的 巨大 缓存 ， 因 为 网 络 中 的 所 有 外 部 DNS 查询 都 是 通 
过 它 解 析 的 。 在 很 短 的 时 间 内 ， 转 发 器 将 使 用 该 缓存 数据 解析 大 部 分 外 部 DNS 查询 ， 从 而 减少 网 
络 的 Internet 通信 和 DNS 客户 端的 响应 时 间 。 

配置 为 使 用 转发 器 的 DNS 服务 器 和 未 配置 为 使 用 转发 器 的 DNS 服务 器 的 行为 不 同 。 配 置 为 
使 用 转发 器 的 DNS 服务 器 的 行为 如 下 : 

(1) 当 DNS 服务 器 收 到 查询 时 ， 它 会 尝试 主持 和 缓存 主要 和 辅助 区 域 解析 该 查询 。 

(2) 如 果 不 能 使 用 该 本 地 数据 解析 查询 ， 它 会 将 查询 转发 给 指定 为 转发 器 的 DNS 服务 器 。 

(3) 在 尝试 和 DNS 服务 器 的 根 提示 中 指定 的 DNS 服务 器 联系 之 前 ， 该 DNS 服务 器 会 等 待 
一 段 很 短 的 时 间 ， 等 待 来 自转 发 器 的 应 答 。 

当 DNS 服务 器 将 查询 转发 给 转发 器 时 ， 它 会 为 转发 器 发 送 递归 查询 。 这 和 迭代 查询 不 同 ， 
在 标准 名 称 解析 (不 涉及 转发 器 的 名 称 解 析 ) 期 间 , DNS 服务 器 将 迭代 查询 发 送 给 另 一 个 DNS 
服务 器 。 


3.5.6 ”动态 更 新 


动态 更 新 允许 DNS 客户 端 计算 机 在 发 生 更 改 的 任何 时 候 使 用 DNS 服务 器 注册 和 动态 地 更 新 
其 资源 记录 。 它 减少 了 对 区 域 记录 进行 手动 管理 的 次 数 ， 对 于 频繁 移动 或 改变 位 置 并 使 用 DHCP 
获得 他 地 址 的 客户 端 更 是 如 此 。 

DNS 客户 端 和 服务 器 服务 支持 使 用 动态 更 新 。DNS 服务 器 服务 允许 配置 在 加 载 标准 主要 区 域 
或 目录 集成 区 域 的 每 个 服务 器 上 ， 在 每 个 区 域 上 启用 或 禁用 动态 更 新 。 默 认 情况 下 ，DNS 客户 端 
服务 在 配置 用 于 TCP/IP 时 ， 将 动态 更 新 DNS 中 的 主机 (A) 资源 记录 (RR) 。 

默认 情况 下 ， 静 态 配置 用 于 TCP/IP 的 计算 机 尝试 为 由 其 安装 的 网 络 连接 所 配置 和 使 用 的 人 P 
地 址 动态 注册 主机 (A) 和 指针 (PTR) 资源 记录 (RR) 。 默 认 情况 下 ， 所 有 计算 机 都 基于 其 完全 
限定 的 域名 (FQDN) 注册 记录 。 


3.5.7 ”Active Directory 集成 


Active Directory 是 从 Windows 2000 Server 开始 的 一 项 服务 ， 用 于 替代 以 前 的 Windows NT 
Server 中 的 “ 域 ”。 从 Windows 2000 Server 开始 ，DNS 服务 器 服务 已 集成 到 Active Directory 的 设 
计 和 实施 中 。Active Directory 提供 了 用 于 组 织 、 管 理 和 定位 网 络 资源 的 企业 级 工具 。 


1. DNS 如 何 和 Active Directory 集成 


在 服务 器 上 安装 Active Directory 时 ， 可 以 将 服务 器 升级 为 指定 域 的 域 控制 器 角色 。 完 成 该 过 
程 时 ， 系 统 将 提示 为 要 加 入 和 升级 服务 器 的 Active Directory 域 指定 DNS 域名 。 

如 果 在 该 过 程 中 ， 指 定 域 的 权威 DNS 服务 器 在 网 络 上 找 不 到 ， 或 不 支持 DNS 动态 更 新 协议 ， 
系统 将 提示 通过 相关 选项 安装 DNS 服务 器 。 之 所 以 提供 该 选项 ， 原 因 在 于 定位 该 服务 器 或 作为 
Active Directory 域 成 员 的 其 他 域 控制 器 时 需要 DNS 服务 器 。 

安装 Active Directory 之 后 ， 对 新 的 域 控制 器 上 运行 的 DNS 服务 器 操作 时 ， 可 以 使 用 两 种 存储 
和 复制 区 域 的 选项 : 
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@ ”使 用 基于 文本 文件 的 标准 区 域 存储 。 按 这 种 方式 存储 的 区 域 位 于 .Dns 文件 中 , 这些 文 件 存 
储 在 运行 DNS 服务 器 的 每 台 计 算 机 上 的 systemroot\System32\Dns 文件 夹 中 。 区 域 文件 名 
称 和 创建 区 域 时 为 区 域 选择 的 名 称 相 对 应 ， 如 区 域名 称 为 example.microsoft.com 时 的 
example.microsoft.com.dns. 

@ 使 用 Active Directory 数据 库 的 目录 集成 区 域 存储 。 按 这 种 方式 存储 的 区 域 位 于 域 或 应 用 程 
序 目录 分 区 下 的 Active Directory 树 中 .每 个 目录 集成 区 域 都 存储 在 按照 创建 该 区 域 时 为 它 
选择 的 名 称 标识 的 dns Zone 容器 对 象 中 。 


2. Active Directory 集成 的 好 处 


要 对 网 络 上 的 DNS 进行 配置 以 支持 Active Directory， 强 烈 建议 使 用 集成 目录 的 主要 区 域 ， 因 
为 这 样 做 可 以 提供 以 下 好 处 : 

(1) 基于 Active Directory 功能 的 多 主机 更 新 和 增强 的 安全 性 。 在 标准 区 域 存储 模式 中 ， 以 单 
主机 更 新 模式 为 基础 进行 DNS 更 新 。 在 该 模式 中 ， 区 域 的 单个 授权 DNS 服务 器 被 指派 为 该 区 
域 的 主要 源 服务 器 。 该 服务 器 在 本 地 文件 中 保留 了 相关 区 域 的 主 控 副 本 。 通 过 该 模式 ， 该 区 域 
的 主 服务 器 代表 一 个 固定 的 故障 点 。 如 果 该 服务 器 不 可 用 ， 将 不 会 对 该 区 域 处 理 来 自 DNS 客 
户 端的 更 新 请 求 。 

通过 和 目录 集成 的 存储 区 ， 可 以 根据 多 主机 更 新 模式 对 DNS 进行 动态 更 新 。 在 该 模式 下 ， 任 
何 授权 DNS 服务 器 (如 运行 DNS 服务 器 的 域 控制 器 ) 都 被 指定 为 该 区 域 的 主要 源 服务 器 。 因 为 区 
域 的 主 控 副 本 完全 复制 到 所 有 域 控制 器 的 Active Directory 数据 库 中 ， 所 以 该 区 域 可 由 任何 域 控制 
器 上 运行 的 DNS 服务 器 更 新 。 

通过 Active Directory 的 多 主机 更 新 模式 ， 只 要 域 控制 器 在 网 络 上 可 用 而 且 可 以 访问 ， 和 目录 
集成 的 区 域 的 任何 主 服务 器 都 可 以 处 理 来 自 DNS 客户 端的 更 新 区 域 请 求 。 

另外 ， 在 使 用 和 目录 集成 的 区 域 时 ， 可 以 使 用 访问 控制 列表 (ACL) 的 编辑 功能 ， 以 确保 目 
录 树 中 dnsZone 对 象 容器 的 安全 。 使 用 该 功能 ， 可 以 对 区 域 或 区 域 中 指定 的 RR 进行 粒度 访问 。 例 
如 ， 可 以 对 区 域 RR 的 ACL 进行 限制 ， 以 便 只 允许 对 指定 的 客户 机 或 安全 组 〈 如 域 管理 员 组 ) 进 
行动 态 更 新 。 该 功能 不 适用 于 标准 主要 区 域 。 


如 果 将 区 域 类 型 改 为 集成 目录 类 型 ， 默 认 情况 下 ， 更 新 区 域 时 只 允许 进行 安全 更 新 。 此 外 ， 只 有 可 


以 对 和 DNS 有 关 的 Active Directory 对 象 使 用 ACL 时 ，ACL 才能 应 用 到 DNS 客户 端 服务 。 


(2) 只 要 将 新 的 区 域 添加 到 Active Directory 域 ， 区 域 就 会 自动 复制 并 同步 至 新 的 域 控制 器 。 
尽管 可 以 有 选择 地 从 域 控制 器 中 删除 DNS 服务 ， 但 和 目录 集成 的 区 域 已 存储 在 每 个 域 控制 器 中 ， 
因此 , 区 域 存储 和 管理 不 是 附加 的 资源 。 另外 , 和 可 能 需要 传输 整个 区 域 的 标准 区 域 更 新 方法 相 比 ， 
同步 存储 目录 信息 的 方法 可 以 提高 性 能 。 

(3) 通过 将 DNS 区 域 数据 库 的 存储 集成 到 Active Directory 中 ， 可 以 针对 网 络 简化 数据 库 复 
制 规划 。 分 别 存储 和 复制 DNS 名 称 空间 和 Active Directory 域 时 ， 需 要 对 其 单独 进行 规划 和 管理 。 
例如 ， 将 标准 DNS 区 域 存储 和 Active Directory 结合 使 用 时 ， 需 要 设计 、 实 现 、 测 试 和 维护 两 个 不 
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同 的 数据 库 复制 拓扑 结构 。 例 如 ， 在 域 控制 器 之 间 复 制 目录 数据 时 需要 使 用 一 种 复制 拓 朴 结 ， 而 在 
DNS 服务 器 之 间 复 制 区 域 数据 库 时 需要 使 用 另外 一 种 复制 拓扑 结构 。 

在 网 络 的 规划 和 设计 及 其 可 能 的 最 终 扩展 方面 ， 这 样 做 可 能 会 产生 额外 的 管理 复杂 性 。 通 过 
集成 DNS 存储 区 ， 可 以 把 与 DNS 和 Active Directory 有 关 的 存储 管理 和 复制 问题 统一 起 来 ， 将 它 
们 合并 为 一 个 管理 实体 ， 并 作为 一 个 管理 实体 查看 。 

(4) 和 标准 DNS 复制 相 比 ， 目 录 复 制 更 快捷 、 更 有 效 。 因 为 Active Directory 复制 处 理 是 基 
于 每 个 属性 进行 的 ， 所 以 只 能 传播 相关 的 更 改 , 这 样 可 以 减少 更 新 目录 存储 区 域 时 使 用 和 提交 的 
数据 。 


(1 ) 该 目录 中 只 能 存储 主要 区 域 。DNS 服务 器 不 能 在 目录 中 存储 辅助 区 域 。 因 此 ， 它 必需 在 标准 
文本 文件 中 存储 这 些 数据 。 如 果 将 所 有 的 区 域 都 存储 在 Active Directory 中 ，Active Directory 的 多 主机 复 


制 模式 将 不 再 需要 辅助 区 域 。 
(2 ) DNS 服务 器 服务 包含 这 样 一 个 选项 ， 可 以 通过 读 取 存储 在 Active Directory 数据 库 和 服务 器 注 
册 表 中 的 参数 初始 化 DNS 服务 器 服务 。 这 是 默认 启动 选项 。 


3.5.8 安装 Active Directory 的 DNS 要 求 


在 成 员 服务 器 上 安装 Active Directory 时 ， 可 将 成 员 服务 器 升级 为 域 控制 器 。Active Directory 
将 DNS 作为 域 控制 器 的 位 置 机 制 ， 使 网 络 上 的 计算 机 可 以 获取 域 控制 器 的 卫 地 址 。 

在 Active Directory 安装 期 间 ， 在 DNS 中 动态 注册 服务 (SRV) 和 地 址 (A) 资源 记录 ， 这 些 
记录 是 域 控制 器 定位 程序 (Locator) 机 制 功 能 成 功 实现 所 必需 的 。 

要 在 域 或 林 中 查找 域 控制 器 ， 客 户 端 将 在 DNS 中 查询 域 控制 器 的 SRV 和 A 资源 记录 ， 这 些 
资源 记录 为 客户 端 提 供 域 控制 器 的 名 称 和 IP 地 址 。 在 这 种 环境 中 ，SRV 和 A 资源 记录 被 称 为 定位 
程序 DNS 资源 记录 。 

向 林 中 添加 域 控制 器 时 , 将 使 用 定位 程序 DNS 资源 记录 更 新 DNS 服务 器 上 主持 的 DNS 区 域 ， 
同时 标识 域 控制 器 。 为 此 ，DNS 区 域 必需 允许 动态 更 新 ， 同 时 ， 主 持 该 区 域 的 DNS 服务 器 必需 支 
持 SRV 资源 记录 才能 公布 Active Directory 目录 服务 。 如 果 主 持 权 威 DNS 区 域 的 DNS 服务 器 不 是 
运行 Windows 2000 或 Windows Server2003 的 服务 器 ， 则 应 与 DNS 管理 员 联 系 , 确定 该 DNS 服务 
器 是 否 支持 所 需 的 标准 。 如 果 服 务 器 不 支持 所 需 标 准 ， 或 者 权威 DNS 区 域 不 能 被 配置 为 允许 动态 
更 新 ， 则 需要 对 现 有 DNS 结构 进行 修改 。 


3.6 DNS 服务 器 的 安装 与 配置 


在 Windows Server 2003、Windows Server 2008 中 ， 只 有 “标准 ”的 DNS 服务 器 才 需 要 配置 ， 
如 果 是 Active Directory 中 的 DNS 服务 器 ， 通 常 系统 会 自动 配置 。 而 Active Directory 中 的 DNS 服 
务 器 ， 除 了 系统 自动 创建 的 一 些 记录 外 ， 其 他 设置 和 “标准 ”DNS 服务 器 都 是 一 样 的 ， 所 以 本 章 
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主要 讲述 “标准 ”DNS 服务 器 的 安装 配置 。 

作为 实用 的 DNS 服务 器 ， 有 服务 于 Intemet 并 为 Intermet 上 的 其 他 用 户 提供 DNS 解析 和 查询 
的 DNS 服务 器 ， 也 有 专门 用 于 内 网 并 为 内 网 的 DNS 解析 提高 解析 速度 的 “DNS 缓存 ”服务 器 ， 
许多 时 候 ， 在 内 网 架设 DNS 服务 器 可 以 用 来 解析 由 于 “内 、 外 网 ”DNS 解析 不 同 所 带 来 的 网 络 通 
信和 问题 。 

接 下 来 ， 介 绍 DNS 服务 器 的 安装 和 配置 。 本 节 将 创建 如 下 DNS 服务 器 : 


DNS 域名 : msft.com 
DNS 服务 器 地 址 : 192.168.128.5 


在 msft.com 域 中 创建 www、ftp 等 记录 ， 使 其 解析 到 192.168.128.5。 
3.6.1 安装 DNS 服务 器 
DNS 服务 器 的 安装 比较 简单 ， 基 本 上 和 安装 DHCP 服务 器 类 似 ， 主 要 步骤 如 下 。 


WO 在 将 要 安装 DNS 服务 器 的 计算 机 中 ， 检 查 IP 地 址 ， 在 本 例 中 ， 设 置 IP 地 址 为 
192.168.128.5，DNS 地 址 为 192.168.128.5。 


在 实际 的 使 用 中 ， 应 该 在 DNS 的 客户 端 设 置 DNS 的 地 址 ， 为 DNS 服务 器 的 了 P 地 址 。 在 本 例 中 ， 
设置 DNS 的 地 址 为 自己 的 ， 是 为 了 实验 的 方便 。 


02 参照 前 文安 装 DHCP 服务 器 的 步骤 ， 进 入 “服务 器 管理 器 一 添加 角色 向 导 ” 对 话 框 ， 在 
“选择 服务 器 角色 ”选项 组 中 ， 选 中 并 添加 “DNS 服务 器 ”， 如 图 3-45 所 示 。 

to3 在 “DNS 服务 器 ”对 话 框 ， 显 示 了 DNS 服务 器 的 简介 信息 ， 查 看 之 后 单 击 “ 下 一 步 ” 
按钮 ， 如 图 3-46 所 示 。 
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图 3-45 添加 DNS 服务 器 图 3-46 DNS 服务 器 简介 


to 级 在 “确认 安装 选择 ”对 话 框 中 ， 查 看 安装 配置 ， 单 击 “ 安 装 ” 按 钮 ， 开 始 安装 。 
9 DNS 服务 器 开始 安装 ， 安 装 完成 之 后 ， 单 击 “ 关 闭 ” 按 钮 ， 完 成 安装 。 
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3.6.2 创建 正 向 查找 区 域 

安装 好 DNS 服务 器 之 后 ，DNS 服务 器 只 是 一 个 “ 空 ” 的 数据 库 ， 需 要 在 DNS 服务 器 中 创建 
“区 域 ” 之 后 ， 才 能 为 对 应 的 区 域 提 供 域名 解析 的 服务 〈 对 于 不 能 解析 的 域名 ， 如 果 当 前 DNS 服 
务 器 能 连接 到 Intemet， 将 转发 到 Intemet 的 “转发 器 ”或 “ 根 ”域名 服务 器 进行 转发 )。 在 本 例 中 ， 
在 新 建 的 DNS 服务 器 中 创建 名 为 msft.com 的 正 向 区 域 (为 msftcom 域 提供 域名 解析 服务 )， 步 又 
如 下 。 

四 和 在 “服务 器 管理 器 ”中 定位 到 “角色 一 DNS 服务 器 ”， 或 者 从 “开始 ~ 管理 工具 ”中 运 
行 “DNS”, 都 会 打开 DNS 服务 器 ,用 鼠标 右 击 “ 正 向 查找 区 域 ”， 在 弹出 的 快捷 菜单 中 选择 “新 


建 区 域 ” 命令 ， 如 图 3-47 所 示 。 
四 有 2 在 “区 域 类 型 ”对 话 框 ， 选 择 “ 主 要 区 域 ”， 如 图 3-48 所 示 。 


图 3-47 新 建 区 域 图 3-48 正 向 区 域 


03) 在 “区 域名 称 ” 对 话 框 ， 在 “区 域名 称 ”文本 框 中 输入 要 创建 的 DNS 域名， 在 本 例 中 为 


msft.com， 如 图 3-49 所 示 。 
四 多 在 “区 域 文件 ”对 话 框 中 ， 选 中 “创建 新 文件 ， 文 件 名 为 ” 单 选 按钮 ， 并 保持 默认 文件 


名 msft.com.dns， 如 图 3-50 所 示 。 


图 3-49 设置 域名 图 3-50 设置 区 域 文件 名 


io 印 在 “动态 更 新 ”对 话 框 中 选择 “不 允许 动态 更 新 ”， 如 图 3-51 所 示 。 
iog 在 “正在 完成 新 建 区 域 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 创 建 区 域 完成 ， 如 图 3-52 


所 示 。 
。105。 
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要 关闭 此 oj 导 并 让 建新 区 所 ， 请 单机 “ 完 矶 ” 


< 上 -5m [FSw 


图 3.51 动态 更 新 图 3-52 ”区域 创建 完成 
3.6.3 在 DNS 服务 器 中 创建 记录 


配置 完 DNS 服务 器 ， 在 与 上 级 的 DNS 服务 器 地 址 建立 联系 后 (只 要 在 上 级 DNS 服务 器 注册 
正确 的 地 址 )， 就 可 以 对 自己 所 属 的 域名 (本 例 中 为 msft.com) 提供 域名 解析 服务 了 。 下 面 来 介绍 ， 
在 自己 所 属 的 域名 中 添加 各 种 DNS 记录 的 方法 。 

1. 创建 A 记 录 


Web 服务 器 、FTP 服务 器 的 域名 是 一 个 A 记录 ， 类 似 于 www.sohu.com、ftp.sina.com.cn 等 。A 
记录 在 域名 服务 器 中 是 最 常用 的 ， 它 用 来 把 一 个 容易 记忆 的 名 称 和 一 个 32 位 的 他 地址 相对 应 。 


QW 打开 “DNS 管理 器 ”， 定 位 到 “msft.com” 域 名 ， 在 右 侧 的 空白 处 ， 单 击 鼠 标 右键 ， 从 
弹出 的 快捷 菜单 中 选择 “新 建 主机 (A 或 AAAA) (S) ”， 如 图 3-53 所 示 。 

to3 在 弹出 的 “新 建 主 机 ”对 话 框 中 ， 在 “名 称 (如果 为 空 则 使 用 其 父 域名 称 ) ”文本 框 中 
输入 “www”， 在 “IP 地址 (了 ) ”文本 框 中 输入 对 应 的 也 地 址 “192.168.128.5”， 然 后 单 击 “ 添 
加 主机 ”按钮 ， 如 图 3-54 所 示 。 
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3-53 ”新 建 主机 图 3-54 添加 名 为 www 的 A 记录 


tj 在 弹出 的 “DNS” 提 示 框 中 ， 单 击 “确定 ”按钮 ， 如 图 3-55 所 示 。 
to 绚 接 下 来 ， 添 加 名 为 “ftp” 的 A 记录 ， 如 图 3-56 所 示 。 
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6 万 攻 地 i 奸 了 主机 记录 vv sft co。 
Ce 3 | 
3-55 ”添加 主机 记录 完成 3-56 ”添加 名 为 FTP 的 A 记录 


在 创建 了 www、f 等 A 记录 之 后 , 在 DNS 客户 端 解析 www.msft.com 和 ftp.msft.com 时 ,将 
能 解析 出 对 应 的 瑟 地 址 192.168.128.5。 此 时 ， 如 果 要 解析 msftcom 中 不 存在 的 记录 ， 如 
mail.msft.com， 将 不 会 解析 出 人 P 地 址 ， 因 为 在 msft.com 区 域 中 没有 这 一 条 记录 。 


2. 创建 泛 域名 解析 记录 


虽然 自己 组 建 的 DNS 服务 器 ， 可 以 创建 许多 记录 ， 但 在 很 多 情况 下 ， 创 建 的 许多 记录 都 是 指 
向 同一 个 耳 地 址 .例如 ， 在 前 面 的 例子 中 ， 名 为 www、ftp 的 A 记录 都 指向 了 192.168.128.5。 如 果 
还 有 其 他 A 记录 将 要 指向 这 台 服 务 器 假设 为 朋友 或 者 其 他 人 提供 二 级 域名 服务 并 且 把 这 些 二 乡 
域名 对 应 的 网 站 都 放 在 这 人 台 服 务 器 上 ) ， 在 以 前 的 情况 下 ， 应 该 是 每 增加 一 个 需要 解析 的 A 记录 ， 
都 要 在 DNS 服务 器 上 添加 。 这 时 候 ， 就 可 以 使 用 “ 泛 域名 解析 ”功能 ， 所 谓 “ 泛 域名 解析 ”， 实 
际 上 是 将 所 有 DNS 中 未 明确 列 出 的 A 记录 都 指向 一 个 默认 的 他 地址 ， 并 且 用 星 号 (*) 来 表示 。 

例如 ,将 msft.com 的 “ 泛 域名 解析 ”指向 192.168.128.5 的 瑟 地 址 ， 只 需要 添加 一 个 名 称 为 星 
号 (*) 的 A 记录 并 且 指 向 相关 的 瑟 地 址 即 可 ， 如 图 3-57 所 示 。 


i _ a 


图 3-57 添加 泛 域名 解析 记录 
以 后 ， 凡 是 在 DNS 服务 器 中 未 明确 列 出 的 名 称 ， 都 会 解析 到 192.168.128.5。 
3. 创建 邮件 交换 器 记录 


邮件 交换 器 (MX) 也 是 一 个 比较 重要 的 DNS 记录 ， 用 来 表示 所 属 邮 件 服务 器 的 下 地址。 例 
如 ， 在 的 域 “heinfo.edu.cn” 中 有 一 个 邮件 服务 器 ， 其 他 用 户 〈 如 linnan@heuetcom) 如 果 想 给 
“heinfo.edu.cn” 的 一 个 邮箱 (假设 为 admin@heinfo.edu.cn) 发 信 ， 则 linnan@heuet.com 所 属 的 邮 
件 服务 器 需要 “知道 ”接收 者 邮箱 (admin@heinfo.edu.cn) 所属 的 邮件 服务 器 的 地 址 ， 这 就 需要 查 
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接收 者 邮件 (@heinfo.edu.cn) 的 MX 记录 ， 而 MX 记录 就 表示 了 邮件 服务 器 的 人 P 地 址 。 
通常 情况 下 ，MX 记录 指向 一 个 A 记录 ， 而 这 个 A 记录 将 “指向 ”邮件 服务 器 的 他 地 址 。 创 
建 邮件 交换 器 (MX) 记录 的 步骤 如 下 。 


四 和 首先 创建 一 个 指向 邮件 服务 器 亿 地 址 的 A 记录 ， 如 创建 名 为 mail 的 A 记录 , 该 A 记录 
指向 邮件 服务 器 的 卫 地 址 。 

i0g 右 击 “msftcom” 或 者 在 右 侧 的 空白 窗 格 处 单 击 鼠 标 右键 ， 从 弹出 的 菜单 中 选择 “新 建 
邮件 交换 器 (MX) ”。 

io3j 在 弹出 的 “新 建 资源 记录 ”对 话 框 中 ， 如 果 想 创建 @msftcom 的 邮件 服务 器 的 MX 记录 ， 
则 在 “主机 或 子 域 ”文本 框 中 保留 空白 ， 在 “邮件 服务 器 的 完全 合格 的 域名 (FQDN ) ”文本 框 中 
输入 邮件 服务 器 他 地 址 对 应 的 A 记录 ， 在 此 可 以 使 用 mail.msft.com， 如 图 3-58 所 示 。 


图 3-58 创建 MX 记录 


许多 时 候 ， 一 个 域 中 的 邮件 服务 器 不 止 一 台 。 例 如 ， 本 节 中 , 在 瑟 地 址 192.168.128.5 的 邮件 
服务 器 上 创建 所 有 后 缀 为 @msftcom 的 邮箱 。 如 果 想 再 创建 第 2 台 邮 件 服务 器 ， 使 用 后 级 为 
@rvipmsftcom， 在 IP 地 址 为 192.168.128.6 的 计算 机 上 ， 则 应 该 先 创建 一 个 A 记录 ， 如 
mailserver.msft.com, 在 创建 MX 记录 时 创建 子 域 并 且 使 用 刚刚 创建 的 A 记录 , 如 图 3-59 和 图 3-60 
所 示 。 


192. 165.126.6 
已 和 


图 3-59 创建 A 记录 3-60 创建 第 2 个 MX 记录 
在 图 3-60 所 示 对 话 框 中 ， 在 “邮件 服务 器 优先 级 ”文本 框 中 ， 设 置 邮件 服务 器 的 优先 级 。 数 


“108™ 
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字 越 小 ， 优 先 级 越 高 ， 在 本 例 中 ， 设 置 数字 为 5。 

4. 创建 其 他 记录 

在 DNS 服务 器 中 , 还 可 以 创建 其 他 记录 ， 如 别名 记录 (CNAME) 、IPv6 主机 记录 (AAAA) 、 
服务 位 置 记录 (SRV) 等 。 如 果 需 要 创建 这 些 记 录 ， 可 以 在 DNS 服务 器 中 ， 在 右 侧 的 空白 窗 格 中 
单 击 鼠标 右键 ,从 弹出 的 快捷 菜单 中 选择 “其 他 新 记录 ”， 并 在 弹出 的 “资源 记录 类 型 ”文本 框 中 ， 
选择 相应 的 记录 ， 然 后 选择 “创建 记录 ” 即 可 ， 如 图 3-61 和 图 3-62 所 示 。 
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3-61 创建 其 他 新 记录 3-62 ”选择 其 他 记录 
如 图 3-63 所 示 ， 是 创建 CNAME 记录 。 这 些 记录 的 使 用 并 不 是 很 多 ， 在 此 不 做 详细 的 介绍 。 


CR | 
3-63 创建 CNAME 记录 


3.6.4 ”使 用 nslookup 命令 检查 DNS 信息 


如 果 要 对 DNS 服务 器 排 错 ， 或 者 想 要 检查 DNS 服务 器 的 信息 ， 可 以 使 用 nslookup 命令 。 在 
网 络 中 的 任何 一 台 工 作 站 上 ， 在 命令 提示 符 下 输入 nslookup 命令 ， 然 后 按 回 车 键 。 下 面 介绍 使 用 
nslookup 检查 DNS 信息 的 方法 。 
(1) 如 果 想 设置 nslookup 使 用 的 DNS 服务 器 ， 可 以 输入 server DNS_server ip 并 按 回 车 键 。 
(2) 如 果 想 检查 某 个 DNS 域名 的 MX 记录 ， 可 以 先 输入 set qd=mx， 然 后 输入 想 要 检查 的 
DNS 域名 ， 如 msft.com, 输入 之 后 , 将 显示 DNS 服务 器 的 MX 记录 及 对 应 的 IP 地 址 ， 如 图 3-64 
所 示 。 
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(3) 如 果 要 显示 其 他 记录 ， 则 输入 set q=any， 然 后 输入 想 要 查询 的 记录 的 名 称 ， 如 
www.msft.com， 如 图 3-65 所 示 。 


wu.nsft .con 
务 器 :Unknoun 
ddress: 192.168.128.5 

neft.con intemnet addyese = 192.168.128.5 
xyz msEE -com 


3 Unknown 
ddress: 192.160.128.5 


~ 5. na railsoreer.nsft.con ye -nsft.con internet address = 1.2.3.4 


ee - 5. nail exchangor -mail 
intornot addroos = 192.168.128.5 


图 3-64 显示 MX 记录 3-65 ”检查 其 他 记录 


(4) 如 果 要 退出 nslookup 命令 ， 输 入 exit。 
3.6.5 组 建 内 部 DNS 覆盖 公 网 DNS 解析 结果 


DNS 服务 器 配置 虽然 简单 ， 但 如 果 用 的 好 ， 可 以 解决 一 些 “ 疑 难 ” 问 题 。 下 面 通过 例子 进行 
说 明 。 

某 单位 通过 光纤 连接 到 Intermet， 网 通 公司 提供 了 5 个 下 地址， 其 中 1 个 他 地 址 用 于 Intemet 
接 入 ，1 个 他 地 址 作为 网 站 服务 器 ， 并 且 这 个 公 网 地 址 映射 到 内 网 的 Web 服务 器 (FTP 服务 器 同 
时 也 在 这 台 机 器 上 ) ，1 个 IP 地 址 作为 邮件 服务 器 映射 到 另 一 台 内 网 服务 器 上 。 该 单位 申请 的 域 
名 为 heuet.org。 现在 问题 是 : 外 面 的 用 户 可 以 使 用 www.heuet.org 和 mail.heuet.org 登录 单位 的 网 站 
和 邮箱 ,但 单位 内 部 的 人 却 不 能 通过 www.heuet.org 和 mail.heuet.org 来 访问 单位 的 网 站 和 邮件 系统 。 

本 案例 中 ， 路 由 器 启用 了 NAT 功能 ， 并 且 使 用 202.206.198.194 共享 上 网 ,将 202.206.198.195 
映射 到 内 网 的 192.168.1.5 的 Web 服务 器 中 ， 网 络 拓扑 如 图 3-66 所 示 。 


Web 服 务 器 


192. 168.1.5 2 
oe 
Wl 
最 兼 做 NAT 的 路 由 器 
\ 外 网 IP: 202. 206. 198. 194 
~ , E 202. 206. 198. 195—192. 168. 1. 5 
De 内 网 IP: 192. 168. 1.1 
DNS 服 务 器 交换 机 
IP:192. 168. 1. 100 
a SS 
2 ~ 
f 
\ 
\ 工作 站 x 
IP: 192. 168. 1.x 
网 关 : 192. 168. 1. 1 
DNS:192. 168. 1. 100 
工作 站 1 还 作息 工作 站 100 
IP，192. 168. 1. 10 TP: 192. 168. 1. 11 
:192. 168. 1. 网 关 192. 168.1.1 JP: 192.168.1.110 
网 关 : 192. 168. 1. 1 DNS:192. 168.1 100 网关: 192. 168. 1.1 
DNS:192. 168. 1. 100 - DNS:192. 168. 1. 100 


图 3-66 案例 3 网 络 拓扑 图 
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本 案例 中 ， 在 192.168.1.5 的 服务 器 中 ， 保 存 了 www.heuet.org 网 站 (同时 提供 了 ftp.heuet.org 
的 FTP 服务 ， 用 来 上 传 和 更 新 网 站 ) ，heuet.org 域名 在 域名 服务 商 处 进行 了 注册 ， 并 且 将 www 等 
A 记录 注册 到 202.206.198.195 的 卫 地 址 中 (如 图 3-67 所 示 ) 。 这 样 , 当 工 作 站 尝试 (如 192.168.1.10 
的 工作 站 ) 访问 www.heuet.org 时 ， 解 析 的 地 址 是 202.206.198.195， 但 许多 路 由 器 不 支持 从 内 网 访 


问 202.206.198.195 并 且 将 此 地 址 再 映射 到 192.168.1.5 中 ， 所 以 不 能 访问 网 站 ; 


但 外 网 用 户 是 直接 


通过 202.206.198.195 访问 ， 路 由 器 将 对 此 地 址 的 访问 转发 到 192.168.1.5， 因 此 是 可 以 访问 的 。 
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3-67 ”heuet.org 的 DNS 服务 器 中 A 记录 指向 的 地 址 
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在 这 种 情况 下 ， 一 般 的 解决 方法 是 在 heuet.org 中 注册 内 网 的 地 址 如 www2， 并 将 www2 解析 


为 内 网 地 址 192.168.1.5， 让 内 网 用 户 访问 www2.heuet.org， 就 可 以 访问 Web 
所 示 。 
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3-68 添加 到 内 网 地 址 的 A 记录 


网 站 了 ， 如 图 3-68 


这 样 ， 内 网 用 户 不 需要 修改 其 DNS 服务 器 ， 即 可 以 完成 网 站 的 访问 。 但 一 些 不 熟悉 计算 机 的 
用 户 ， 不 明白 为 什么 在 单位 内 网 访问 网 站 是 使 用 www2.heuet.org， 而 在 单位 外 面 是 使 用 
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www.heuet.org 进行 访问 。 这 时 候 ， 就 需要 采用 另外 一 种 办 法 了 。 

对 于 本 案例 来 说 ,如 果 想 让 内 、 外 网 用 户 访问 网 站 都 使 用 同一 种 方式 来 访问 ， 则 需要 在 内 网 组 
建 DNS 服务 器 ， 创 建 内 网 的 heuet.org 区 域 ， 将 www 和 ftp 等 A 记录 解析 成 内 网 的 地 址 ， 并 且 让 
所 有 工作 站 的 DNS 指向 新 创建 的 DNS 服务 器 , 在 DNS 服务 器 上 启用 “转发 器 ”转发 所 有 heuet.org 
以 外 的 域名 解析 需求 。 本 案例 的 解决 步骤 如 下 。 


to 出 在 内 网 的 一 人 台 服 务 器 (本 例 中 , 这 全 服务 器 的 卫 地 址 是 192.168.1.200 ) 中 , 安装 Windows 
Server 2003 和 DNS 服务 。 

tO3 参照 3.6.2 节 ， 创 建 名 为 heuet.org 的 区 域 ， 并 添加 DNS 转发 器 地 址 。 不 同 之 处 如 图 3-69 
所 示 。 

03j 参照 3.6.3 节 , 创建 名 为 www 和 ftp 的 A 记录 ,， 并且 其 耳 地 址 为 192.168.1.5， 如 图 3-70 
和 图 3-71 所 示 。 

to 弥 网 络 中 所 有 的 工作 站 ， 其 DNS 服务 器 地 址 都 配置 为 192.168.1.200， 如 图 3-72 所 示 ， 这 
是 耳 地 址 为 192.168.1.5 的 工作 站 的 TCP/IP 配置 信息 。 
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3-71 创建 名 为 fp 的 A 记录 3-72 ” 某 台 工 作 站 的 TCP/IP 配置 
说 明 
如 果 Web 服务 器 是 Windows Server 2003, 也 可 以 在 Web 服务 器 上 安装 DNS 服务 器 , 这 样 , 网络 中 


所 有 工作 站 的 DNS 都 配置 为 192.168.1.200 即 可 ， 其 他 的 设置 和 步骤 1 ~3 相同 。 
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3.7 ”WINS 服务 器 的 安装 和 配置 


WINS 是 “Windows Intemet 名 称 服务 ”的 简称 ， 它 提供 了 动态 复制 数据 库 服务 ， 此 服务 可 以 
将 NetBIOS 名 称 注册 并 解析 为 网 络 上 使 用 的 他 地址 Microsoft Windows Server 家 族 提供 了 WINS， 
它 运行 服务 器 计算 机 来 充当 NetBIOS 名 称 服务 器 并 注册 和 解析 网 络 上 启用 WINS 的 客户 端 计算 机 
名 称 。 简 单 来 说 ，WINS 服务 器 解析 诸如 aaa、bbb 等 计算 机 的 “ 短 名 称 ”，DNS 服务 器 解析 诸如 
aaa.bbb.ccc 等 之 类 的 “长 名 称 ”。 所以, WINS 服务 主要 用 于 局 域 网 , 而 DNS 服务 可 以 在 任何 Internet 
网 络 中 使 用 。 


3.7.1 安装 WINS 服务 器 


在 Windows Server 2008 中 ， 选 择 “ 服 务 器 管理 器 一 功能 一 添加 功能 ”， 添 加 WINS 服务 器 ， 
如 图 3-73 所 示 。 


yo 2 | _ 驻 
图 3-73 添加 WINS 服务 


添加 之 后 ， 不 需要 重新 启动 计算 机 ，WINS 服务 器 即 可 以 使 用 。 在 图 3-73 所 示 的 “选择 功能 ” 
对 话 框 中 ， 还 可 以 添加 TFTP 客户 端 (大 家 常用 的 telnet 命令 ) 、BitLocker 驱动 器 加 密 等 功能 。 

WINS 服务 器 的 配置 相对 来 说 比较 简单 ， 在 大 多 数 情况 下 ， 都 不 需要 配置 ， 只 要 在 客户 端 指定 
WINS 服务 器 ， 客 户 端 就 会 把 自己 的 NetBIOS 名 称 和 Pp 地 址 在 WINS 服务 器 中 注册 ， 其 他 客户 端 
也 就 能 在 WINS 服务 器 查找 NetBIOS 名 称 的 了 P 地 址 并 用 于 网 络 通信 。 


3.7.2 在 WINS 服务 器 中 添加 静态 映射 


通常 情况 下 ，WINS 客户 端 会 将 自己 的 计算 机 名 称 和 IP 地 址 在 WINS 服务 器 上 进行 注册 。 当 
有 些 计 算 机 不 能 在 WINS 服务 器 中 注册 时 ， 要 想 让 其 他 客户 端 使 用 NetBIOS 名 称 进行 网 络 通信 ， 
必需 在 WINS 服务 器 中 通过 添加 静态 映射 的 方法 ， 添 加 NetBIOS 名 称 和 了 P 地 址 的 对 应 关系 ， 步 又 
如 下 。 
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to 出 进入 WINS 服务 器 ， 定 位 到 “计算 机 名 一 活动 注册 ”， 用 鼠标 右键 单 击 “ 活 动 注册 ”， 
在 弹出 的 菜单 中 选择 “新 建 静态 映射 ”命令 ， 如 图 3-74 所 示 。 

92 在 弹出 的 “新 建 静态 映射 ”对 话 框 中 ， 在 “计算 机 名 称 ”文本 框 中 ， 输 入 某 台 计算 机 的 
NetBIOS 名 称 ， 在 “类 型 ”下 拉 列 表 中 选择 “惟一 ”， 在 “IP 地 址 ”文本 框 中 ， 输 入 此 全 计算机 
对 应 的 他 地 址 ， 然 后 单 击 “确定 ”按钮 ， 如 图 3-75 所 示 。 


rr rr 
CE lee] 
we 


a 


了 请 LL EN 
图 3-74 ”新建 静态 映射 图 3-75 ”创建 静态 映射 


3.7.3 “导入 包括 静态 项 的 文件 


如 果 有 大 量 的 计算 机 需要 添加 为 静态 映射 , 可 以 用 “记事 本 ”编辑 一 个 文本 文件 , 然后 使 用 “ 导 
入 LMHOSTS 文件 ”的 方式 ， 批 量 导入 这 些 文件 。LMHOSTS 文件 的 格式 如 下 : 


192.168.1.1 hostserver 
192.168.1.98 SeIVerI23 
192.168.3.55 mailserver 


这 和 DNS 的 hosts 文件 相 类 似 ， 前 面 是 IP 地 址 ， 后 面 是 NetBIOS 名 称 。 然 后 将 上 述 信 息 
保存 为 LMHOSTS 文件 ， 在 WINS 服务 器 上 用 鼠标 右键 单 击 “ 活 动 注册 ”， 在 弹出 的 快捷 菜单 
中 选择 “导入 LMHOSTS 文件 ”( 如 图 3-75 所 示 ) ， 在 后 面 的 步骤 中 选择 要 导入 的 文本 文件 
即 可 。 


3.7.4 查看 WINS 服务 器 中 的 注册 信息 


在 WINS 服务 器 中 可 以 查看 在 WINS 服务 器 中 所 有 的 注册 信息 ， 包 括 工 作 站 自动 在 WINS 服 
务 器 注册 的 信息 和 在 WINS 服务 器 中 通过 静态 映射 指定 的 信息 ， 方 法 如 下 : 


0 在 WINS 服务 器 中 ， 定 位 到 “计算 机 名 一 活动 注册 ”， 用 鼠标 右键 单 击 ， 从 弹出 的 菜单 
中 选择 “显示 记录 ”， 如 图 3-76 所 示 。 
iog3 在 弹出 的 “显示 记录 ”对 话 框 中 ， 默 认 出 现 “ 记 录 映 射 ”选项 卡 ， 如 图 3-77 所 示 。 
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RE 和 二 wn | 
图 3-76 显示 WINS 服务 器 记录 3-77 ”记录 映射 


“记录 映射 ”选项 卡 中 包含 3 个 选项 组 ， 分 别 介绍 如 下 。 


如 果 选 中 “筛选 和 此 名 称 样式 匹配 的 记录 ”， 则 在 下 面 输入 在 WINS 数据 库 中 搜索 的 计算 
机 NetBIOS 名 称 。 如 果 同 时 选中 “大 小 写 敏 感 匹配 ”， 按 提供 的 匹配 条 件 ( 包括 大 写 ) 执 
行 记录 搜索 。 

如 果 选 中 “筛选 和 此 了 瑟 地 址 匹配 的 记录 ”， 则 在 此 处 输入 在 WINS 数据 库 中 搜索 的 卫 地 
址 。 如 果 同 时 选中 “基于 此 子 网 掩 码 匹配 卫 地 址 ”， 则 在 此 处 输入 子 网 掩 码 进一步 筛选 
IP 地 址 搜索 。 

如 果 选 中 “启用 结果 缓存 ”， 结 果 缓存 允许 WINS 名 称 记录 所 有 者 的 记录 下 载 到 本 地 计算 
机 上 ， 在 记录 集 上 随后 的 查询 操作 过 程 中 提供 更 高 的 性 能 。 返 回 到 本 地 计算 机 的 记录 和 集 存 
储 在 本 机 内 存 中 。 当 记录 集 存 储 在 内 存 中 时 ， 本 地 计算 机 的 性 能 可 能 会 受到 影响 ， 这 依赖 
本 机 内 存 的 数量 和 记录 集 的 大 小 。 


03) 在 “记录 所 有 者 ”选项 卡 中 ， 指 定 为 哪些 所 有 者 显示 记录 ， 如 图 3-78 所 示 。 

级 在 “记录 类 型 ”选项 卡 中 ， 列 出 在 筛选 WINS 数据 库 视 图 时 可 用 的 NetBIOS 名 称 类 型 。 
默认 情况 下 ,在 筛选 器 掩 码 中 包含 了 全 部 的 名 称 类 型 。 对 于 不 想 查看 的 名 称 类 型 ， 单 击 以 从 当前 得 
选 的 视图 中 清除 或 删除 它们 。 设 置 之 后 ， 单 击 “ 立 即 查找 ”按钮 即 可 ， 如 图 3-79 所 示 。 


RR Te 
图 3-78 记录 所 有 者 图 3-79 ”记录 类 型 


5) 查找 完成 后 , 在 WINS 服务 器 中 的 注册 信息 会 在 “活动 注册 ” 右 侧 窗口 中 显示 , 如 图 3-80 
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所 示 。 


Ee 
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3-80 ”当前 WINS 服务 器 的 注册 信息 


在 “静态 ”标题 中 ， 有 “ 叉 号 ”标记 的 ， 表 示 静 态 映射 ， 没 有 此 标志 的 ， 是 动态 映射 。 


3.8 WINS 工作 站 的 设置 


在 工作 站 中 使 用 WINS 服务 器 是 比较 简单 的 事情 : 如 果 工 作 站 从 网 络 中 的 DHCP 服务 器 获 
得 地 址 ， 则 在 DHCP 服务 器 为 “作用 域 选项 ”或 “服务 器 选项 ”指定 WINS 服务 器 的 地 址 及 类 
型 即 可 ; 如果 工 作 站 手动 指定 IP 地 址 ， 则 手动 添加 WINS 服务 器 的 地 址 即 可 。 现 在 分 别 介绍 这 
两 种 情况 。 


3.8.1 在 DHCP 服务 器 中 分 配 WINS 服务 器 


如 果 网 络 中 使 用 DHCP 服务 器 为 工作 站 分 配 人 P 地 址 ， 在 创建 作用 域 的 同时 ， 可 以 一 同 指定 
WINS 服务 器 的 地 址 , 或 者 在 配置 “服务 器 选项 ”中 ， 一同 为 所 有 作用 域 指定 WINS 服务 器 地 址 及 


类 型 。 例 如 ， 在 DHCP 服务 器 的 “服务 器 选项 ”对 话 框 中 ， 在 DHCP 服务 器 中 添加 WINS 服务 器 
的 地 址 192.168.1.10， 并 添加 节点 类 型 为 0x8， 如 图 3-81 和 图 3-82 所 示 。 
|i | 全 | | 
[用 选项 ] 说明 本 四 
回 o44 WINS/NBNS 服务 器 巴 辐 地 址 控 忧 先 回 044 YINS/NERS 服务 器 BINS 地 址 只 忧 先 
口 045 NetBI0S over TCP/IP NBDD 按 忧 先 级 排列 的 工 口 045 ietBIOS over TCP/IP WEDD 控 忧 先 级 排列 的 T 
口 046 WINS/NBT 节点 类 型 Dxl = B- 节 点 ,Ow 回 046 YIRS/NET 节点 类 型 Oxl = 了 -节点 ,Dll 
口 047 NetBI0S 作用 域 ID TCPIP 上 的 号 和 总 TCF7IF 上 的 2 
Se Heder te et 
数据 输入 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 数据 输入 
服务 器 名 避 ): 字 节 人 外): 
和 解 入 于 ) [3 
IP 地 址 到 ): 
| 天 加 硬 
删除 @E) 
上 欧 忠 
下 称 人 0) 
Ca | ww | ssw Ce _ ww | gao 
3-81 在 DHCP 服务 器 选项 中 指定 WINS 服务 器 地 址 3-82 ”指定 WINS 服务 器 类 型 
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3.8.2 ”工作 站 的 配置 


在 网 络 中 ， 工 作 站 的 配置 是 很 简单 的 ， 只 要 指定 WINS 服务 器 的 地 址 即 可 。 如 果 网 络 中 使 用 
DHCP 服务 器 分 配 地 址 并 且 指派 了 WINS 服务 器 的 地 址 和 节点 类 型 , 工作 站 只 要 设置 为 自动 获得 地 
址 即 可 得 到 正确 的 网 络 参数 。 为 工作 站 指定 WINS 服务 器 的 操作 步骤 如 下 。 


t0 册 在 工作 站 ( 或 需要 指定 WINS 服务 器 地 址 的 服务 器 上 ), 打 开 网 络 连 接 属性 ,在 设置 TCP/IP 


192 .168 1 .10 


图 3-83 单 击 “高 级 ”按钮 
io 到 在 打开 的 “高 级 TCP/IP 设置 ”对 话 框 中 ， 进 入 “WINS” 选 项 卡 ， 单 击 “ 添 加 ”按钮 ， 


如 图 3-84 所 示 。 
ij 在 弹出 的 对 话 框 中 ,输入 WINS 服务 器 的 地 址 ， 然 后 单 击 “ 添 加 ”按钮 ， 如 图 3-85 所 示 。 


高 级 至 “2 


图 3-84 “WINS” 选 项 卡 3-85 添加 WINS 服务 器 


“117% 
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10 添加 之 后 ， 单 击 “ 确 定 ” 按 钮 . 
3.8.3 ”在 自动 获得 IP 地 址 的 工作 站 上 进行 验证 


如 果 网 络 中 使 用 DHCP 服务 器 ， 只 要 设置 “自动 获得 卫 地 址 ”和 “自动 获得 DNS 服务 器 地 
址 ” 即 可 ， 如 图 3-86 所 示 。 
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厢 此 连接 该 限制 或 无 连接 时 通知 我 ) a 
二 — 
we |_ 
高 级 四 


图 3-86 ”自动 获得 人 P 地 址 和 DNS 服务 器 地 址 


在 工作 站 上 ， 可 以 在 命令 提示 窗口 中 ， 使 用 “ipconfig/all” 命 令 ， 查 看 WINS 服务 器 、DNS 
服务 器 地 址 等 参数 ， 如 图 3-87 所 示 。 


图 3-87 查看 网 络 参数 


在 图 3-87 中 ， 在 “DNS Servers” 后 面 列 出 的 是 DNS 服务 器 地 址 ， 在 “Primary WINS Server” 
后 面 列 出 的 是 WINS 服务 器 的 地 址 。 
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3.8.4 WINS 应 用 示例 


某 企 业 使 用 的 是 Symantec 企业 版 防 病毒 软件 , 这 个 单位 有 5 个 VLAN, 在 部 署 Symantec 之 后 ， 
发 现 只 有 和 Symantec 服务 端 在 同一 VLAN 的 客户 端 才能 升级 补丁 , 而 其 他 VLAN 的 客户 端 却 不 能 
从 服务 器 端 获得 补丁 。 经 过 分 析 ，Symantec 企业 版 是 靠 NetBIOS 名 称 管理 每 台 计 算 机 的 ， 而 
Symantec 客户 端 也 是 靠 NetBIOS 名 称 “ 查 找 ” 并 定位 服务 器 地 址 的 ， 解 析 NetBIOS 名 称 需 要 “ 广 
播 ”， 而 VLAN 是 屏蔽 广播 的 ,所 以 Symantec 服务 器 端 不 能 管理 其 他 VLAN 中 的 工作 站 ， 而 使 用 
WINS 就 可 以 解决 这 个 问题 。 

某 单 位 有 5 台 服 务 器 ， 其 中 1 台 升 级 到 Windows Server 2003 的 Active Directory 网 络 ， 其 余 4 
台 服 务 器 加 入 到 Active Directory 并 且 使 用 “DEFS (分 布 式 文件 系统 ) ”作为 “文件 服务 器 ”提供 
共享 。 但 在 使 用 中 发 现 ， 虽 然 各 个 工作 站 都 能 访问 DFS 根 目录 ， 但 DFS 中 的 “链接 ”有 的 却 不 能 
打开 ， 经 过 检查 发 现 ， 凡 是 与 服务 器 在 同一 VLAN 的 计算 机 都 可 以 打开 ， 凡 是 不 在 同一 VLAN 的 
计算 机 都 不 能 打开 。 经 过 进一步 检查 ， 发 现 另 外 4 台 在 提供 DFS 链接 时 ， 都 是 使 用 NetBIOS 名 称 
而 不 是 DNS 名 称 ， 因 为 网 络 中 没有 WINS 服务 器 ,所 以 其 他 VLAN 中 的 计算 机 不 能 解析 NetBIOS 
名 称 。 知 道 问 题 所 在 后 ， 就 可 以 解决 该 问题 了 : 第 一 种 解决 方法 是 将 所 有 的 DFS 链接 更 换 为 DNS 
名 称 ; 第 二 种 方法 是 在 企业 部 署 WINS 服务 器 并 用 WINS 服务 器 为 所 有 计算 机 解析 NetBIOS 名 称 。 


第 4 章 磁盘 与 文件 系统 管理 


在 操作 系统 中 ， 尤 其 是 对 作为 “服务 器 ”的 网 络 操作 系统 来 说 ， 合 理 并 安全 的 管理 存储 资源 
是 每 个 管理 员 需 要 承担 的 任务 。 在 购买 服务 器 的 初期 , 每 个 管理 员 要 为 现在 以 及 将 来 要 用 到 的 存储 
容量 、 存 储 性 能 及 存储 的 安全 性 做 出 合理 的 规划 。 如 果 接 手 一 个 已 经 规划 好 的 网 络 ， 怎 样 合理 而 安 
全 的 使 用 现 有 的 服务 器 存储 也 是 一 个 重要 的 任务 。 本 章 将 介绍 磁盘 文件 系统 、NTFS 安全 性 、 共 享 
文件 来 、BitLocker、 磁 盘 配 额 、 卷 影 副 本 等 一 系列 与 “存储 ”相关 的 内 容 。 


4.1 磁盘 与 存储 的 关系 


管理 “存储 ”是 操作 系统 的 一 项 基本 功能 ， 这 里 所 说 的 “存储 ”， 既 包括 安装 在 计算 机 “本 
地 的 ”磁盘 所 组 成 的 “存储 ”， 也 包括 通过 网 络 连接 的 “网 络 存储 ”或 专用 连接 线 缆 连 接 的 “SAN 

对 于 “本 地 磁盘 ”来 说 ， 在 安装 操作 系统 之 前 ， 就 需要 对 其 做 出 合理 的 规划 。 如 果 服 务 器 有 具 
有 支持 RAID5 或 RAID50、RAID6 的 陈列 卡 ， 则 需要 先 用 陈列 卡 的 配置 程序 ， 将 服务 器 上 的 多 个 
硬盘 划分 为 1 个 或 多 个 “逻辑 磁盘 ”。 在 安装 操作 系统 的 时 候 ， 利 用 操作 系统 的 安装 程序 ， 对 其 中 
的 一 个 逻辑 磁盘 进行 “分 区 ”， 并 在 其 中 的 一 个 分 区 中 安装 操作 系统 。 安 装 完 操作 系统 之 后 ， 对 剩 
余 的 空间 或 逻辑 磁盘 进行 分 区 、 格 式 化 等 工作 ， 这 样 ， 本 地 的 磁盘 才能 使 用 。 在 这 里 ， 采 用 RAID 
卡 划 分 后 的 每 个 “逻辑 磁盘 ”， 相 当 于 普通 台式 机 中 的 “物理 磁盘 ”， 它 们 在 逻辑 上 是 等 效 的 。 或 
者 这 样 理解 : 陈列 卡 运行 于 操作 系统 的 更 底层 ,经 过 陈列 卡 划分 的 每 个 磁盘 ,对 于 操作 系统 来 说 是 
单独 的 硬盘 。 

操作 系统 只 能 安装 、 运 行 于 “本 地 磁盘 ”， 或 者 相对 于 “操作 系统 ”来 说 是 “本 地 磁盘 ”。 
例如 ， 如 果 物 理 主机 安装 了 Hyper-V 或 VMware ESX Server， 且 Hyper-V 或 VMware ESX Server 
使 用 了 iSCSI 网 络 存储 ， 创 建 虚拟 机 并 在 虚拟 机 中 安装 操作 系统 。 如 果 Hyper-V 或 VMware ESX 
Server 将 虚拟 机 分 配 于 iSCSI 网 络 存储 ， 则 对 于 Hyper-V 或 VMware ESX Server 来 说 ，iSCSI 存储 
是 “网 络 存储 ”, 而 对 于 由 Hyper-V 或 VMware ESX Server 管理 的 虚拟 机 来 说 , 则 是 “本 地 磁盘 ”、 
“本 地 存储 ”。 

对 于 “网 络 存储 ”来 说 ， 在 安装 好 操作 系统 之 后 ， 可 以 通过 网 络 或 专门 的 连接 线 缆 ， 连 接 到 
存储 服务 器 ， 存 储 服 务 器 提供 的 存储 供 操作 系统 使 用 和 管理 。 
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4.1.1 采用 何 种 RAID 与 磁盘 


对 于 服务 器 来 说 ， 如 果 服 务 器 的 硬盘 在 3 一 5 块 ， 则 推荐 采用 RAID5， 这 样 可 以 达到 较 好 的 性 
能 及 较 高 的 安全 性 。 如 果 服 务 器 的 硬盘 在 6 块 以 上 并 且 是 偶数 硬盘 ， 则 推荐 采用 RAID50， 这 样 可 
以 实现 更 高 的 安全 性 。 

现在 服务 器 的 磁盘 普遍 采用 SAS 接口 ， 这 种 接口 也 兼容 SATA 接口 ， 对 于 要 求 不 是 特别 高 的 
企业 来 说 ， 推 荐 采用 SATA 硬盘 ， 因 为 SATA 硬盘 具有 最 高 的 性 价 比 。 例 如 ， 一 块 3.5 英寸 、SAS 
接口 、600GB、15000 转 的 硬盘 市 场 价 大 约 在 3000 元 以 上 ， 而 一 块 ITB、SATA 接口 、7200 转 的 
3.5 英寸 企业 级 硬盘 ， 市 场 价 大 约 是 800 元 。 为 了 达到 较 好 的 性 能 ， 可 以 用 多 块 SATA 硬盘 来 弥补 
磁盘 转速 的 不 足 ， 并 且 ， 目 前 SATA 硬盘 可 以 做 到 单 碟 500GB 甚至 1TB， 较 高 的 磁盘 容量 可 以 近 
一 步 降低 转速 所 带 来 的 问题 。 对 于 SAS 与 SATA 硬盘 来 说 ， 其 内 部 数据 传输 率 是 比较 接近 的 ， 在 
日 常 的 使 用 中 ， 对 于 大 多 数 企 业 用 户 而 言 ， 差 距 不 大 。 


4.1.2 ”关于 服务 器 使 用 RAID5 磁盘 陈列 的 问题 


一 些 服务 器 在 创建 磁盘 陈列 时 ， 大 多 是 把 服务 器 上 所 有 的 硬盘 创建 RAID5， 并 且 只 划分 了 一 
个 “逻辑 磁盘 ”， 这 样 从 理论 上 来 讲 没有 任何 问题 ,在 实际 中 也 是 可 以 使 用 的 , 但 是 这 种 方法 并 不 
可 取 ， 原 因 在 于 : 现在 服务 器 集成 的 SCSI、RAID 卡 、SAS 卡 等 ， 操 作 系 统 大 多 没有 集成 相关 的 
驱动 程序 ， 这 样 在 安装 操作 系统 的 时 候 ， 如 果 使 用 Windows Server 2003 (或 Windows Server 2008) 
安装 光盘 ， 从 光盘 启动 安装 ， 在 安装 的 时 候 需 要 按 F6， 并 在 软驱 中 插入 相关 的 SCSI、RAID 卡 驱 
动 程序 。 而 现在 一 些 服务 器 并 不 带 软驱 (或 者 虽然 服务 器 带 软驱 但 软盘 质量 太 差 了 ) 。 这 个 时 候 ， 
就 需要 使 用 服务 器 带 的 “引导 光盘 ”启动 ， 使 用 服务 器 的 引导 光盘 来 安装 系统 ， 而 采用 这 种 方法 的 
时 候 ， 要 把 第 1 个 逻辑 磁盘 重新 划分 分 区 ， 这 样 做 在 第 1 次 安装 系统 的 时 候 没 有 问题 , 但 如 果 服 务 
器 使 用 一 段 时 间 之 后 需要 重新 安装 系统 ， 并 且 D 分 区 、E 分 区 有 数据 的 时 候 ， 如 果 还 用 这 种 方法 
就 不 太 现 实 了 。 

所 以 ， 上 面 这 种 方法 ， 只 是 “能 用 ”并 不 “实用 ”。 推 荐 大 家 使 用 下 面 的 方式 划分 : 在 创建 
RAID5 或 RAID50 的 磁盘 陈列 时 ， 创 建 两 个 逻辑 磁盘 ， 第 1 个 逻辑 磁盘 大 小 为 30 一 100GB， 第 2 
个 逻辑 磁盘 是 RAID5 的 剩余 空间 。 这 样 ， 既 使 是 使 用 服务 器 带 的 “引导 光盘 ”安装 系统 ， 也 只 是 
把 第 1 个 逻辑 磁盘 重新 划分 分 区 ， 并 不 会 影响 第 2 个 逻辑 磁盘 上 的 数据 。 另 外 ,在 使 用 服务 器 带 的 
光盘 划分 第 1 个 逻辑 磁盘 时 ,就 把 所 有 的 空间 都 划分 出 来 ,这 样 第 1 个 逻辑 磁盘 只 安装 系统 , 不 做 
他 用 。 

现在 服务 器 大 多 安装 了 4 一 6 个 硬盘 ,这些 硬盘 可 以 创建 RAID5。 如 果 服 务 器 上 有 10 个 硬盘 ， 
不 建议 把 这 10 个 硬盘 创建 一 个 RAID5， 而 应 该 是 每 5 个 硬盘 一 组 ， 分 别 创建 RAID5。 并 且 ， 第 一 
组 的 5 个 硬盘 ， 创 建 两 个 逻辑 磁盘 (第 1 个 30 一 100GB， 第 2 个 是 RAIDS 的 剩余 空间 ) ， 而 第 二 
组 的 5 个 硬盘 ， 只 需要 创建 一 个 逻辑 磁盘 专门 存 数据 就 行 了 。 如 果 需 要 单一 的 大 硬盘 分 区 ， 只 需要 
使 用 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 中 的 “动态 卷 ”， 将 第 
2 个 逻辑 磁盘 创建 一 个 分 区 并 附加 到 第 一 组 第 2 个 逻辑 磁盘 创建 的 分 区 就 可 以 了 。 

最 后 还 要 告诉 大 家 一 点 ， 就 是 在 创建 磁盘 陈列 时 ， 没 有 备用 的 硬盘 ， 而 把 所 有 的 硬盘 都 使 用 
上 也 是 不 可 取 的 。 通常 情况 下 , 陈列 中 的 硬盘 , 大 多 在 3 一 5 年 之 后 才 开始 出 故障 , 如 果 这 时 RAID5 
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中 的 1 个 硬盘 出 现 问题 ,需要 将 故障 硬盘 替换 下 来 , 但 是 在 3 年 之 后 很 少 能 买 到 3 年 甚至 更 长 时 间 
以 前 的 硬盘 。 另 外 ， 数 据 也 没有 时 间 等 待 购买 硬盘 。 所 以 ， 在 做 磁盘 陈列 的 时 候 ， 甚 至 在 前 期 规划 
的 时 候 ， 相 同 的 硬盘 至 少 得 有 一 、 两 块 备 用 的 ， 当 服务 器 硬盘 有 故障 时 马上 蔡 换 ， 而 不 是 关闭 服务 
器 、 向 领导 打 报 告 、 等 领导 指示 后 再 买 硬盘 替换 。 

综 上 所 述 ， 如 果 使 用 磁盘 陈列 ， 尤 其 是 提供 虚拟 化 应 用 的 服务 器 ， 一 定 要 有 备用 硬盘 ， 并 且 
按照 上 述 所 介绍 的 方式 划分 分 区 ， 这 样 可 以 减少 出 现 问 题 的 概率 ， 做 到 防 患 于 未 然 。 


4.2 文件 系统 概述 


文件 系统 是 计算 机 用 于 组 织 硬 盘 上 的 数据 的 基本 结构 。 如 果 要 安装 新 硬盘 ， 则 需要 使 用 文件 
系统 对 其 进行 分 区 和 格式 化 ， 然 后 才能 开始 存储 数据 或 程序 。Windows 中 ， 可 以 从 中 进行 选择 的 
三 个 文件 系统 选项 为 : NTFS、FAT32 以 及 现在 很 少 使 用 的 较 早 的 FAT (也 称 FAT16) 。 


4.2.1 NTFS 


NTFS 是 Windows 版 本 (Windows Server 2008 R2) 的 首选 文件 系统 。 与 早期 的 FAT32 文件 
系统 相 比 ， 它 有 许多 优点 ， 其 中 包括 : 


e@ 能够 从 某 些 与 磁盘 相关 的 错误 中 自动 恢复 ， 而 FAT32 则 不 能 。 
e@ 改善 了 对 较 大 硬盘 的 支持 。 
@ ”由 于 可 以 使 用 权限 和 加 密 来 限制 用 户 访问 特定 文件 ， 因 此 安全 性 更 好 。 


如 果 要 将 FAT32 文件 系统 转换 为 NTFS 文件 系统 ， 可 以 进入 “命令 提示 窗口 ”执行 convert 
命令 ， 并 加 上 相关 的 参数 ， 将 指定 的 磁盘 转换 为 NTFS 文件 系统 。 例 如 ， 如 果 要 将 D 分 区 转换 为 
NTFS 文件 系统 ， 可 以 执行 如 下 的 命令 : 


convert d: /fs:ntfs 
在 执行 该 命令 之 后 ， 根 据 屏幕 的 提示 进行 操作 既 可 。 
4.2.2 FAT32 


FAT32 以 及 更 少 使 用 的 FAT 用 于 早期 版 本 的 Windows 操作 系统 ， 包 括 Windows 95、 
Windows 98 和 Windows Millennium Edition。FAT32 不 具有 NTFS 提供 的 安全 性 ， 因此 如 果 计 
算 机 上 有 FAT32 分 区 或 卷 ， 则 访问 该 计算 机 的 任何 用 户 都 可 以 读 取 上 面 的 文件 。FAT32 还 有 大 
小 限制 , 不 能 在 此 Windows 版 本 中 创建 大 于 32GB 的 FAT32 分 区 , 也 不 能 在 FAT32 分 区 上 存 
储 大 于 4GB 的 文件 。 

使 用 FAT32 的 主要 原因 是 计算 机 有 时 既 需 要 运行 Windows 95、Windows 98 或 Windows 
Millennium Edition， 又 需要 运行 此 Windows 版 本 ， 这 称 为 多 重 引导 配置 。 如 果 是 这 种 情况 ， 则 需 
要 在 FAT32 或 FAT 分 区 上 安装 早期 版 本 的 操作 系统 并 确保 它 是 主 分 区 (可 以 驻 留 操作 系统 的 分 
区 ) 。 使 用 这 些 早 期 的 Windows 版 本 时 ， 需 要 访问 的 其 他 任何 分 区 都 必须 使 用 FAT32 格式 化 。 
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这 些 早期 的 Windows 版 本 可 以 访问 网 络 上 的 NTFS 分 区 或 卷 , 但 不 能 访问 计算 机 上 的 NTFS 分 
区 或 卷 。 


4.3 ”磁盘 与 卷 管理 


基本 磁盘 和 动态 磁盘 是 Windows 中 的 两 种 硬盘 配置 类 型 。 大 多 数 个 人 计算 机 都 配置 为 基本 磁盘 ， 
该 类 型 易于 管理 。 而 动态 磁盘 可 以 使 用 计算 机 内 的 多 个 硬盘 复制 数据 ， 从 而 提高 了 性 能 和 可 靠 性 。 

基本 磁盘 使 用 主 分 区 、 扩 展 分 区 和 逻辑 驱动 器 组 织 数据 。 格 式 化 的 分 区 也 称 为 卷 〈《 术 语 “ 卷 ” 
和 “分 区 ”通常 互 换 使 用 ) 。 在 此 Windows 版 本 中 ， 基 本 磁盘 可 以 有 四 个 主 分 区 或 三 个 主 分 区 和 
一 个 扩展 分 区 。 扩展 分 区 可 以 包含 无 数 个 逻辑 驱动 器 。 基本 磁盘 上 的 分 区 不 能 与 其 他 分 区 共享 或 拆 
分 数据 。 基 本 磁盘 上 的 每 个 分 区 都 是 该 磁盘 上 一 个 独立 的 实体 。 

动态 磁盘 可 以 包含 无 数 个 “动态 卷 ”， 其 功能 与 基本 磁盘 上 主 分 区 的 功能 相似 。 基 本 磁盘 和 
动态 磁盘 之 间 的 主要 区 别 在 于 动态 磁盘 可 以 在 计算 机 上 的 两 个 或 多 个 动态 硬盘 之 间 拆 分 或 共享 数 
据 。 例如 ,一 个 动态 卷 实际 上 可 以 由 两 个 单独 的 硬盘 上 的 存储 空间 组 成 。 另 外 ,动态 磁盘 可 以 在 两 
个 或 多 个 硬盘 之 间 复制 数据 以 防止 单个 磁盘 出 现 故 障 。 此 功能 需要 更 多 硬盘 ， 但 提高 了 可 靠 性 。 

在 下 面 的 操作 中 ， 我 们 将 向 实验 用 的 Windows Server 2008 R2 虚拟 机 中 添加 两 块 新 的 虚拟 硬 
盘 ， 用 于 动态 卷 的 实验 。 


4.3.1 添加 虚拟 硬盘 
关闭 Windows Server 2008 R2 虚拟 机 ， 向 虚拟 机 中 添加 两 块 虚 拟 硬 盘 用 于 实验 ， 主 要 步骤 如 下 。 


0 在 Hyper-V 控制 台中 ， 确 认 Windows 2008 R2 虚拟 机 处 于 关闭 状态 ， 然 后 用 鼠标 右键 音 
击 ， 在 弹出 的 快捷 菜单 中 选择 “设置 ”按钮 ， 如 图 4-1 所 示 。 
t@Qg3 在 虚拟 机 设置 中 ， 在 “IDE 控制 器 0” 中 单 击 “ 添 加 ”按钮 ， 如 图 4-2 所 示 。 
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03) 在 “硬盘 驱动 器 ”窗口 中 ， 单 击 “ 新 建 ” 按 钮 ， 如 图 4-3 所 示 。 
0 级 在 “开始 之 前 ”对 话 框 中 ， 选 中 “不 再 显示 此 页 ” 复 选 框 ， 如 图 4-4 所 示 


CE ww | an | 


图 4-3 新 建 虚拟 磁盘 图 4-4 不 再 显示 向 导 页 


05) 在 “选择 磁盘 类 型 ”对 话 框 中 ， 选 中 “动态 扩展 ” 单 选 按钮 ， 创 建 一 个 动态 扩展 的 虚拟 
磁盘 ， 如 图 4-5 所 示 。 


类 = 


toQ8j 在 “指定 名 称 和 位 置 ” 对 话 框 中 ， 指 定 虚拟 硬盘 文件 的 名 称 和 位 置 ， 如 图 4-6 所 示 。 
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图 4-5 创建 动态 扩展 磁盘 图 4-6 指定 磁盘 文件 的 名 称 和 位 置 


QZ 在 “配置 磁盘 ”对 话 框 中 , 指定 新 创建 的 虚拟 硬盘 的 大 小 ,在 此 选择 默认 值 16384MB ( 既 
16GB ) ， 如 图 4-7 所 示 。 


tQ8j 创建 虚拟 磁盘 向 导 完成 ， 单 击 “ 完 成 ”按钮 ， 如 图 4-8 所 示 。 


pL 
ea 


= 
‘sm [ESms] sn | eA | ol [| 
图 4-7 指定 虚拟 硬盘 大 小 


图 4-8 创建 虚拟 硬盘 完成 
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io9j 返回 到 虚拟 机 设置 对 话 框 ， 确 认 新 添加 的 磁盘 (系统 中 第 2 个 磁盘 ) “控制 器 ”为 “IDE 
控制 器 0”，“ 位 置 ”为 “1 (使 用 中 ) ”， 如 图 4-9 所 示 。 

因 0 参照 步骤 2-9， 再 次 添加 一 个 虚拟 磁 栖 ， 使 用 “IDE 控制 器 1”，“ 位 置 1”， 如 图 4-10 
所 示 。 选 择 之 后 ， 单 击 “ 确 定 ” 按 钮 ， 完 成 设置 。 


EY 


图 4-9 添加 第 2 块 硬盘 图 4-10 添加 第 3 块 硬盘 
设置 完成 之 后 ， 在 Hyper-V 控制 台 ， 启 动 Windows 2008 R2 虚拟 机 。 
4.3.2 ”初始 化 新 添加 的 硬盘 
在 做 磁盘 RAID 的 实验 之 前 ， 操 作 系 统 会 对 新 添加 的 硬盘 进行 初始 化 工作 ， 具 体 如 下 所 示 。 


ti 出 启动 Windows 2008 虚拟 机 ， 进 入 系统 后 ， 选 择 “ 开 始 一 所 有 程序 一 管理 工具 一 计算 机 管 
理 ” 进 入 “计算 机 管理 ”。 

iog 在 打开 的 “计算 机 管理 ”对 话 框 中 ， 单 击 “ 存 储 一 磁盘 管理 ”项 ， 因 为 新 添加 了 硬盘 ， 
系统 进入 初始 化 磁盘 向 导 ， 在 “初始 化 磁盘 ”对 话 框 中 ， 选 择 将 要 初始 化 的 硬盘 ， 单 击 “ 确 定 ” 按 
钮 ， 如 图 4-11 所 示 。 


4-11 选择 要 初始 化 的 磁盘 


> 2 
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说 明 
在 图 4-11 中 可 以 看 到 ， 没 有 初始 化 的 磁盘 其 状态 为 “未 知 ”。 


初始 化 磁盘 之 后 ， 既 可 以 开始 下 面 的 学 习 。 
4.3.3 创建 镜像 卷 (RAID 1) 


镜像 卷 (RAID1 功能 ) 是 在 两 个 物理 磁盘 上 复制 数据 的 容错 卷 。 通 过 使 用 两 个 相同 的 卷 〈 被 
称 为 “镜像 ”) ， 镜 像 卷 〈 也 叫 RAID1) 提供 了 数据 元 余 ， 以 便 复 制 包 含 在 卷 上 的 信息 。 镜 像 总 
是 位 于 另 一 个 磁盘 上 。 如果 其 中 一 个 物理 磁盘 出 现 故障 ， 则 该 故障 磁盘 上 的 数据 将 不 可 用 ， 但 是 系 
统 可 以 在 位 于 其 他 磁盘 上 的 镜像 中 继续 进行 操作 (只 能 在 运行 Windows 2000 Server 或 Windows 
Server 2003 、Windows Server 2008 操作 系统 的 计算 机 的 动态 磁盘 上 创建 镜像 卷 )。 在 本 次 实验 中 ， 
将 创建 一 个 RAID 1 的 磁盘 组 ， 大 小 为 1024MB ( 既 1GB) 。 具 体操 作 步 又 如 下 所 示 。 


WO 在 “磁盘 管理 ”中 ， 选 择 第 2 块 硬盘 ， 用 鼠标 右 击 硬盘 ， 在 弹出 的 菜单 中 选择 “新 建 镜 
像 卷 ”命令 ， 如 图 4-12 所 示 。 


图 4-12 新 建 镜像 卷 


在 图 4-12 中 可 以 看 到 ， 当 前 系统 中 有 3 个 硬盘 ， 分 别 是 磁盘 0 ( 这 是 原来 安装 操作 系统 的 硬盘 ) 、 


磁盘 1 和 磁盘 2。 其 中 后 两 个 磁盘 是 新 添加 的 虚拟 硬盘 ， 大 小 约 为 6GB。 在 图 中 也 可 以 看 到 ,磁盘 0、 
磁盘 1、 磁 盘 2 目前 都 属于 “基本 ”磁盘 。 


W022 在 “欢迎 使 用 新 建 镜像 卷 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 新 建 卷 向 导 ， 如 
图 4-13 所 示 。 

to 在 “选择 磁盘 ”对 话 框 中 ， 在 可 用 磁盘 中 选中 磁 表 2， 然 后 单 击 “ 添 加 ”按钮 ， 将 其 添 
加 到 “已 选 的 ”列表 中 ， 如 图 4-14 所 示 。 

i@ 绚 添加 完 一 块 磁盘 后 ， 由 于 创建 的 是 镜像 卷 不 能 再 添加 磁 益 ， 在 “选择 空间 量 ” 文 本 框 中 
设置 镜像 卷 大 小 为 1024M， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 4-15 所 示 。 

则 5 在 “分 配 驱 动 器 号 和 路 径 ” 对 话 框 中 ， 为 新 添加 的 卷 指派 盘 符 为 了 ， 然 后 单 击 “ 下 一 步 
按钮 ， 如 图 4-16 所 示 。 
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欢 避 使 用 新 建 傍 像 者 向 导 
此 同 导 将 厅 肋 匈 在 司 盘 上 让 建 往 量 专 < 
[es 
要 继续 ， 单 而 “下 一 步 ”- 
i i | 
4-13 ”进入 新 建 卷 向 导 图 4-14 添加 磁盘 
EEC 本 EI > 
选择 磁盘 分 本村 动 如 号 和 党 径 
您 司 以 造 玛 晴 散 开 为 此 冤 识 于 沽 盟 大 小 为 了 便于 访问 ,个 本 以 给 专 分 本 一 站 23 庆 号 纲 虹 动 叶 小 径 。 
选择 要 使用 的 磋 吉 ， 因 后 单 击 “ 生 加 ， 
阴风 BG) 分 本 以 3 动 器 Qj: [一 可 
fr 厂 装 入 以下 空 各 TTS 文件 夫 中 加 本 
大 到 陈 区 ) LT 
< 全 冯 卫 这 四 ] 不 分 十 遇 友基 呈现 找 示 器 路 科 0D) 
兰 大 小 局 数 mD RE 
最 大 可 用 空间 二 WB) Ed 
这 检 空 悍 0) 四， [ET 可 


图 4-15 设置 卷 大 小 


图 4-16 为 新 添加 的 卷 指派 驱动 器 号 


tQg 在 “ 卷 区 格式 化 ”对 话 框 中 ， 设 置 卷 标 名 为 “RADI1”， 并 且 选 中 “执行 快速 格式 化 ” 


复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 4-17 所 示 。 


to 双 完成 新 建 卷 向 导 后 ， 在 “正在 完成 新 建 镜像 卷 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 


4-18 所 示 。 
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图 4-17 对 新 添加 的 卷 格式 化 并 指定 卷 标 


图 4-18 完成 新 建 卷 向 导 


tQ8j 在 弹出 的 “ 磁 人 盘 管理 ”提示 框 中 ， 系 统 提示 要 将 “基本 磁盘 ”转换 为 “动态 磁盘 ”， 单 


击 “ 是 ”按钮 进行 转换 ， 如 图 4-19 所 示 。 


to9j 在 “磁盘 管理 ”对 话 框 可 以 看 到 已 经 创建 的 镜像 卷 ,并 且 磁 盘 1、 磁 盘 2 已 经 转换 成 “ 动 


态 ”磁盘 ， 如 图 4-20 所 示 。 


第 1 篇 基础 服务 配置 管理 与 应 用 


FRED am | 
图 4-19 ”转换 为 动态 磁盘 图 4-20 格式 化 新 建 卷 


轩 创建 镜像 卷 完成 后 ， 用 “褐色 ”表示 。 
4.3.4 创建 RAID 5 卷 


在 Windows Server 2003、Windows Server 2008 中 , RAID 5 卷 是 带 有 数据 和 奇偶 校 验 带 区 的 容 
错 卷 ， 间 区 分 布 于 三 个 或 更 多 物理 磁盘 。 奇 偶 校 验 是 用 于 在 发 生 故 障 后 重建 数据 的 计算 值 。 如果 物 
理 磁盘 的 某 一 部 分 发 生 故 障 ，Windows 会 从 其 余 的 数据 和 奇偶 校 验 重新 创建 发 生 故 障 的 那 部 分 磁 
盘 上 的 数据 (只 能 在 运行 Windows 2000 Server 或 Windows Server 2003、Windows Server 2008 操作 
系统 的 计算 机 的 动态 磁盘 上 创建 RAID 5 卷 ) 。 无 法 镜像 或 扩展 RAID 5 卷 。 接 下 来 我 们 将 创建 一 
个 RAID 5 的 磁盘 组 ， 大 小 为 2GB。 

由 于 RAID5 卷 需 要 至 少 3 个 磁盘 ， 所 以 ， 我 们 将 会 把 “磁盘 0” 的 下 分 区 删除 ， 并 将 其 转换 
为 动态 磁盘 。 由 于 在 以 后 的 操作 中 ,将 王 也 设置 为 “页 面 交 换 ” 文 件 ， 在 操作 之 前 ， 需 要 先 删除 了 
分 区 上 的 “页 面 文件 ”， 其 主要 步骤 如 下 。 


和 打开 “虚拟 内 存 ” 对 话 框 ， 设 置 王 分 区 上 “无 分 页 文件 ”， 如 图 4-21 所 示 。 设 置 之 后 ， 
先 不 要 重新 启动 计算 机 。 

lg3 返回 到 “计算 机 管理 一 磁盘 管理 ”， 右 击 “ 磁 盘 0”， 在 弹出 的 快捷 菜单 中 选择 “转换 
成 动态 磁盘 ”， 如 图 4-22 所 示 。 


pr 
本 本 实 料 ， 活动 ， 主 分 E) RN 汪 件 ， 主 分 世 ) 
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图 4-21 设置 无 分 页 文件 图 4-22 转换 成 动态 磁盘 
tQ3 转换 成 动态 磁盘 之 后 ， 重 新 启动 计算 机 。 
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io 网 再 次 进入 系统 后 ， 打 开 “ 计 算 机 管理 一 磁盘 管理 ”， 删 除 玉 分 区 ， 如 图 4-23 所 示 。 


图 4-23 ”删除 EE 分 区 
然后 创建 RAID5 卷 ， 步 又 如 下 。 


0 在 “磁盘 管理 ” 窗 格 ， 选 中 “磁盘 0” 空 余 空间 ,用 鼠标 右 击 ， 在 弹出 的 菜单 中 选择 “新 
建 RAID-5 卷 ” 命令， 如 图 4-24 所 示 。 

ti 到 在 “选择 磁盘 ”对 话 框 中 ,添加 磁盘 1、 磁 盘 2 两 块 硬盘 ,在 “选择 空间 量 ” 处 选择 1024， 
这 样 表示 每 个 磁盘 使 用 1024MB， 则 RAID5 可 用 空间 为 2048MB， 如 图 4-25 所 示 。 


图 4-24 新 建 卷 图 4-25 ”添加 磁盘 并 设置 卷 大 小 
03| 在 “分 配 驱动 器 号 和 路 径 ” 对 话 框 中 ， 为 新 建 的 卷 分 配 盘 符 为 E， 如 图 4-26 所 示 。 


眉 
4-26 为 新 创建 的 卷 分 配 盘 符 


“129;. 
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t@ 特 在 “ 卷 区 格式 化 ”对 话 框 中 ， 设 置 卷 标 名 为 “RAID5”， 并 选中 “执行 快速 格式 化 ” 复 
选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 4-27 所 示 。 
tog RAIDS5 卷 创建 完成 后 ， 用 “青绿 色 ” 表 示 ， 如 图 4-28 所 示 。 


ery 
EE pa, were, 


4-27 格式 化 新 建 卷 并 设置 卷 标 图 4-28 创建 RAID5 卷 完成 
4.3.5” 带 区 卷 实 验 (RAID 0) 


带 区 卷 是 以 带 区 形式 在 两 个 或 多 个 物理 磁盘 上 存储 数据 的 卷 ， 是 Windows 的 所 有 可 用 卷 中 性 
能 最 佳 的 卷 ， 但 它 不 提供 容错 。 带 区 卷 上 的 数据 被 交 蔡 、 均 匀 〈 以 带 区 形式 ) 地 跨 磁盘 分 配 。 如 果 
带 区 卷 中 的 磁盘 发 生 故障 ， 则 整个 卷 中 的 数据 都 将 丢失 。 只 能 在 动态 磁盘 上 创建 带 区 卷 ， 带 区 卷 不 
能 被 镜像 或 扩展 。Windows Server 2008 中 的 “ 带 区 卷 ” 相当 于 RAID 0。 本 次 实验 将 使 用 3 块 硬盘 、 
每 个 磁盘 使 用 1024MB 创建 “ 带 区 卷 ”， 创 建 之 后 ， 该 卷 空间 为 1024MB X3=3076MB 。 操 作 步 又 
如 下 所 示 。 


史 在 “磁盘 管理 ” 窗 格 中 ， 选 中 其 中 1 块 磁盘 的 剩余 空间 ， 用 鼠标 右 击 ， 在 弹出 的 菜单 中 
选择 “新 建 带 区 卷 ”命令 ， 如 图 4-29 所 示 。 

02 在 “选择 磁盘 ”对 话 框 中 ， 添 加 另外 2 块 硬盘 ， 并 指定 跨 区 卷 硬盘 空间 大 小 为 1024MB， 
如 图 4-30 所 示 。 
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图 4-29 新 建 带 区 卷 图 4-30 为 带 区 卷 添 加 硬盘 并 分 配 空间 
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03) 在 “分 配 驱 动 器 号 和 路 径 ” 对 话 框 中 ， 为 带 区 卷 指定 盘 符 为 G， 如 图 4-31 所 示 。 
W044 在 “ 卷 区 格式 化 ”对 话 框 中 ， 设 置 卷 标 为 “RAID0” 并 且 选 中 “执行 快速 格式 化 ” 复 选 
框 ， 如 图 4-32 所 示 。 
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4-31 为 新 建 卷 分 配 盘 符 图 4-32 格式 化 新 建 卷 并 设置 卷 标 


四 35) 创建 完成 后 ， 带 区 卷 用 “ 海 绿色 ”表示 ， 如 图 4-33 所 示 。 


HE EE 


图 4-33 ”创建 带 区 完成 
4.3.6 ”创建 跨 区 卷 ( 对 现 有 磁盘 扩容 ) 


跨 区 卷 是 由 多 个 物理 磁盘 上 的 磁盘 空间 组 成 的 卷 。 可 以 通过 向 其 他 动态 磁盘 扩展 来 增加 跨 
卷 的 容量 。 这 一 功能 是 非常 有 用 的 ， 比 如 ， 将 SQL Server 安装 在 D 盘 ， 随 着 数据 库 内 容 的 增加 ， 
磁盘 的 可 用 空间 很 少 ， 就 可 以 使 用 “ 跨 区 卷 ” 对 E 盘 进 行 扩 容 。 跨 区 卷 只 能 在 动态 磁盘 上 创建 ， 
同时 不 能 容错 也 不 能 被 镜像 。 


区 


如 果 服 务 器 有 硬件 的 RAID 卡 ， 但 在 使 用 RAID 卡 创建 逻辑 磁盘 时 ， 分 配 的 逻辑 磁盘 比较 少 ， 并 且 


安装 了 操作 系统 及 应 用 程序 。 或 者 ， 在 使 用 RAID 卡 创建 的 逻辑 磁盘 比较 大 ， 在 安装 操作 系统 的 时 候 ， 
创建 了 多 个 分 区 , 每 个 分 区 容量 比较 少 。 这 时 候 , 就 可 以 使 用 “ 跨 区 卷 ”功能 ,把 这 些小 的 分 区 “合并 ”。 


在 本 次 操作 中 ， 将 创建 一 个 “简单 卷 ”， 然 后 对 其 扩容 ， 具 体操 作 步 又 如 下 所 示 。 


0 和 在 “磁盘 管理 ” 窗 格 中 ， 右 击 “ 磁 和 瘟 0” 的 剩余 空间 ， 选 择 “ 新 建 简单 卷 ”， 如 图 4-34 
所 示 。 
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4-34 新建 简单 卷 


上 9 有 然后 根据 向 导 ， 创 建 一 个 大 小 为 5000MB 的 简单 卷 并 用 NTFS 文件 系统 格式 化 ， 设 置 盘 


符 为 再。 
03) 右 击 新 创建 的 五 卷 ， 在 弹出 的 快捷 菜单 中 选择 “扩展 卷 ” 命 令 ， 如 图 4-35 所 示 。 
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图 4-35 扩展 卷 


四 弛 在 “选择 磁盘 ”对 话 框 中 ， 添 加 剩余 的 两 块 磁盘 ， 并 且 分 别 为 “磁盘 1” 选 择 1024MB， 
为 “磁盘 2” 选择 2048MB， 磁 盘 0 保持 默认 值 (使 用 所 有 剩余 的 空间 ) ， 如 图 4-36 所 示 。 


LEE 


图 4-36 添加 磁盘 并 指定 每 个 磁盘 上 分 配 的 空间 图 4-37 完成 扩展 
4.3.7 ”镜像 卷 、RAID5 卷 、 带 区 卷 、 跨 区 卷 的 安全 性 
在 前 几 节 所 做 的 操作 中 ， 磁 盘 镜 像 和 RAID 5， 当 其 中 的 一 个 硬盘 损坏 时 ， 数 据 可 以 恢复 。 而 


| 
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带 区 卷 和 跨 区 卷 其 中 的 一 个 硬盘 损坏 时 ， 所 有 数据 丢失 并 且 不 能 恢复 。 所 以 ， 在 创建 带 区 卷 、 跨 区 
卷 时 , 如 果 要 保持 数据 的 安全 性 , 只 有 这 些 卷 所 属 的 磁盘 是 采用 底层 陈列 卡 创建 的 RAID5、RAID0、 
RAID50、RAID6 的 “逻辑 磁盘 ”时 ， 才 推荐 采用 。 

在 Windows Server 2003、Windows Server 2008 中 ， 要 想 修 复 RAID 1、RAID 5 卷 ， 需 要 删除 


失败 的 磁盘 ， 然 后 再 修复 RAID。 这 里 只 介绍 修复 RAID 5 卷 过 程 ， 修 复 RAID 1 卷 与 此 类 似 ， 具 
体操 作 步 骤 如 下 。 


1O 关闭 Windows Server 2008 虚拟 机 , 为 “磁盘 2” 创建 并 选择 一 个 新 的 虚拟 磁盘 , 如 图 4-38 
所 示 。 

t03 启动 并 进入 Windows 2008 虚拟 机 ， 进 入 “磁盘 管理 ”为 添加 的 新 硬盘 进行 初始 化 。 初 始 
化 后 ， 将 新 添加 的 “ 磁 扔 2” 转 换 成 “动态 磁盘 ”， 如 图 4-39 所 示 。 
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图 4-38 新建 虚拟 磁盘 并 选择 


4-39 初始 化 并 转换 为 动态 磁盘 


tQ3j 由 于 带 区 卷 、 跨 区 卷 不 可 修复 ， 所 以 可 以 将 其 删除 ， 右 击 失 败 的 跨 区 卷 ， 在 弹出 的 快捷 
菜单 中 选择 “删除 卷 ” 命令， 将 其 删除 ， 如 图 4-40 所 示 。 同 理 ， 删 除 失败 的 带 区 卷 。 
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4-40 ”删除 失败 的 跨 区 卷 


to 约 右 击 RAID5 卷 ， 在 弹出 的 快捷 菜单 中 选择 “修复 卷 ” 命令 ， 如 图 4-41 所 示 ， 单 击 “ 确 
定 ”按钮 。 


t0g 在 弹出 的 “修复 RAID-5 卷 ” 对 话 框 中 ， 选 择 “磁盘 2” 用 于 修复 ， 如 图 4-42 所 示 。 
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图 4-41 修复 RAIDS 卷 
t08j 修复 之 后 ， 如 图 4-43 所 示 。 


LE 


4-43 ”修复 后 的 RAID5 卷 


4.3.8 恢复 虚拟 机 的 配置 


在 磁盘 的 实验 完成 之 后 ， 关 闭 Windows 
2008 虚拟 机 ， 并 删除 添加 的 第 2、 第 3 块 硬 
盘 ， 只 保留 原来 安装 操作 系统 的 硬盘 。 进 入 
系统 之 后 ， 删 除 以 前 做 实验 中 创建 的 各 卷 ， 


a 
hretzpit 司 PtRs) 到 


9 me TN 
步骤 如 下 。 | 
oo mm | wo | tam | mm. | 
OY 关闭 虚拟 机 ， 在 虚拟 机 设置 对 话 框 入 3 一 一 
中 ， 只 保留 第 1 个 硬盘 ， 如 图 4-44 所 示 。 人 
(02 进入 “计算 机 管理 一 存储 一 磁盘 管 。 | Husos NO 


理 ” 中 ， 删 除 失败 的 RAID5 卷 ， 如 图 4-45 sm 
所 示 。 

to3j 然后 关闭 “计算 机 管理 ”， 并 重新 
进入 “计算 机 管理 一 存储 一 磁盘 管理 ”， 右 
击 “ 丢 失 ” 的 磁盘 ， 在 弹出 快捷 菜单 中 选择 


图 4-44 ”保留 第 一 个 硬盘 


“删除 磁盘 ”命令 ， 如 图 4-46 所 示 ， 删 除 丢失 的 磁盘 。 


图 4-45 ”删除 失败 的 RAID5 卷 


i@ 毕 将 所 有 丢失 磁盘 删除 之 后 ， 在 第 1 个 磁盘 剩余 的 空间 ,创建 一 个 “简单 卷 ”， 并 用 NTFS 
文件 系统 格式 化 ， 在 此 设置 盘 符 为 E， 如 图 4-47 所 示 ， 即 可 恢复 虚拟 机 的 配置 。 


图 4-46 ”删除 磁盘 图 4-47 创建 简单 卷 


4.4 NTFS 权限 


权限 是 指 与 计算 机 上 或 网 络 上 的 对 象 《如 文件 和 文件 夹 ) 关联 的 规则 。 权 限 确定 是 否 可 以 访 
问 某 个 对 象 以 及 可 以 对 它 执行 哪些 操作 。 例 如 ， 用 户 可 能 有 访问 网 络 上 共享 文件 夹 中 文档 的 权限 ， 
但 是 只 能 读 取 该 文档 而 不 能 对 其 进行 更 改 。 计 算 机 上 的 系统 管理 员 和 具有 管理 员 账 户 的 用 户 可 以 为 


个 人 用 户 和 组 分 配 权限 。 
在 前 面 的 章节 我 们 介绍 了 用 户 与 用 户 组 的 概念 ， 在 本 节 中 ， 将 介绍 NTFS 文件 系统 的 安全 性 ， 


NTFS 安全 是 与 用 户 、 用 户 组 配套 使 用 的 ， 单 独 介绍 是 没有 意义 的 。 


4.4.1 文件 与 文件 夹 权限 
在 每 个 文件 系统 中 ， 都 可 以 创建 “文件 ”与 “文件 夹 ”《〈 有 时 候 也 称 为 “目录 ”) ， 所 以 ， 
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NTFS 文件 系统 的 权限 也 包括 “文件 ”权限 与 “文件 夹 ” 权 限 。 表 4-1 列 出 了 文件 和 文件 夹 的 权限 
级 别 。 


表 4-1 NTFS 文件 与 文件 夹 权限 级 别 


| 权限 级 别 描述 

完全 控制 用 户 可 以 查看 文件 或 文件 夹 的 内 容 , 更 改 现 有 文件 和 文件 夹 , 创 建新 文件 和 文件 夹 以 及 在 文件 夹 
中 运行 程序 

| 修改 | 用 户 可 以 更 改 现 有 文件 和 文件 夹 ， 但 不 能 创建 新 文件 和 文件 夹 

| 读 取 和 执行 | 用 户 可 以 查看 现 有 文件 和 文件 夹 的 内 容 ， 并 可 以 在 文件 夹 中 运行 程序 | 

| 读 取 | 用 户 可 以 查看 文件 夹 的 内 容 ， 并 可 打开 文件 和 文件 夹 

写 入 用 户 可 以 创建 新 文件 和 文件 夹 ， 并 对 现 有 文件 和 文件 夹 进行 更 改 

4.4.2 ”有 效 权限 


在 使 用 NTFS 文件 系统 格式 化 的 磁盘 分 区 中 ,管理 员 可 以 对 文件 文件 夹 进行 多 次 的 权限 设置 ， 
并 且 设 置 的 时 候 可 以 使 用 不 同 的 用 户 与 用 户 组 , 由 于 有 的 用 户 属于 多 个 不 同 的 用 户 组 , 则 每 个 用 户 
对 于 指定 的 文件 或 文件 夹 ， 可 能 具有 多 种 权限 的 “混合 ”或 “累加 ”， 这 时 候 就 引出 了 “有 效 权限 ” 
的 概念 。 对 于 “有 效 权限 ”遵循 以 下 三 点 : 


。 拒绝 一 切 : “拒绝 ”的 权限 优先 级 最 高 。 用 户 对 某 个 文件 的 有 效 权限 是 所 有 权限 的 累加 之 
和 ， 但 只 要 其 中 有 一 个 权限 来 源 被 设置 为 “拒绝 ”， 则 用 户 将 不 会 拥有 此 权限 。 例 如 用 户 
user0001 属于 group001 组 ， 假 设 用 户 user0001 对 菜 个 文件 夹 ( 或 文件 ) 具有 完全 控制 权 
限 ， 而 group001 组 对 该 文件 夹 的 “ 读 取 ” 权 限 被 设置 为 “拒绝 ”， 则 用 户 user0001 也 不 
能 读 取 该 文件 夫 。 

@ 权限 累加 : NTFS 权限 是 可 以 累加 的 。 如 果 用 户 属于 多 个 组 ， 并 且 该 用 户 与 这 些 组 分 别 对 
某 个 文件 或 文件 夹 拥 有 不 同 的 权限 设置 时 ， 则 该 用 户 的 有 效 权限 是 所 有 权限 来 源 的 总 和 。 

@ 权限 继承 : NTFS 权限 是 可 以 继承 的 。 在 对 文件 夹 设置 权限 后 ， 该 权限 默认 会 被 此 文件 夹 下 的 
“ 子 文件 夹 ”与 “文件 ”继承 。 当 然 ， 也 可 以 设置 子 文件 夹 不 继承 “ 父 文件 夹 ” 的 权限 。 

下 面 通过 具体 的 实例 介绍 以 上 三 点 。 


to 出 启动 Windows 2008 虚拟 机 ， 打 开 “ 资 源 管 理 器 ”窗口 ， 打 开 C 分 区 中 的 “用 户 一 
Administrator” 文 件 夹 ， 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”， 如 图 4-48 所 示 。 
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02 打开 “Administrator 属性 ”对 话 框 ， 在 “安全 ”选项 卡 中 可 以 看 到 ， 当 前 文件 夹 添加 了 
2 个 用 户 组 (分别 为 SYSTEM 和 Administrators ) 、1 个 用 户 (Administrator ) ， 在 “组 或 用 户 名 ” 
列表 中 ， 选 择 一 个 用 户 , 例如 Administrator， 则 在 正文 窗 格 中 显示 对 应 账户 (或 组 ) 的 权限 ， 如 图 
4-49 所 示 。 


在 图 4-49 中 ， 当 前 的 文件 夹 对 2 个 用 户 组 、1 个 用 户 进行 权限 设置 ， 由 于 Administrator 用 户 
属于 Administrators 组 ， 则 Administrator 用 户 具 有 图 4-49 中 ，Administrator 用 户 及 Administrators 
用 户 组 的 权限 的 “累加 ” 


tQ3 如 果 想 修改 权限 ， 例 如 添加 其 他 用 户 或 组 对 当前 文件 夹 的 权限 ， 或 者 修改 现 有 用 户 或 组 
的 权限 ， 可 以 单 击 “编辑 ”按钮 ， 在 弹出 的 “Administrator 的 权限 ”对 话 框 中 ， 在 上 方 的 窗 格 中 ， 
选中 用 户 或 组 ,在 下 方 的 窗 格 中 对 应 的 权限 处 确认 (及 者 为 选中 , 无 者 表示 没有 对 应 权限 或 权 
限 不 明 ) ， 也 可 以 单 击 “ 删 除 ” 按 钮 ， 删 除 选中 用 户 或 组 的 权限 ， 或 者 单 击 “ 添 加 ”按钮 ， 添 加 用 
户 或 组 ， 并 在 添加 用 户 或 组 之 后 ， 选 中 新 添加 的 用 户 和 组 ， 在 下 文 的 窗 格 中 添加 权限 。 在 下 方 的 权 
限 窗 格 中 ,包括 “允许 ”与 “拒绝 ”两 列 权限 ， 通 常 在 “允许 ”一 列 中 选择 对 应 的 权限 ， 如 果 在 “ 拒 
绝 ”一 列 中 进行 选择 ， 则 “拒绝 ”的 权限 将 超过 允许 的 权限 ， 如 图 4-50 所 示 。 
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4-50 权限 列表 


不 要 修改 “用 户 一 Administrator” 文 件 夹 的 权限 ， 如 果 大 家 想 练习 权限 ， 可 在 其 他 分 区 的 其 他 文件 
夹 中 练习 。 


4 在 EE 分 区 新 建 一 个 文件 夹 test， 并 打开 该 文件 夹 的 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 ， 
在 “test 的 高 级 安全 设置 ”对 话 框 中 ， 显 示 了 继承 权限 ， 在 “继承 于 ”列表 中 显示 了 每 个 用 户 从 
那个 文件 夹 继 承 来 的 权限 ， 单 击 “ 编 辑 ” 按 钮 ， 可 以 修改 继承 权限 ， 或 者 选择 不 继承 ， 如 图 4-51 
所 示 。 

tQg 在“ 有效 权 限 ”选项 卡 中 ， 可 以 显示 选中 用 户 的 有 效 权限 。 单 击 “ 选 择 ” 按 钮 ， 选 择 
一 个 用 户 ， 在 “有 效 权限 ”列表 中 ， 显 示 了 该 用 户 对 此 文件 夹 ( 或 文件 ) 的 有 效 权限 ， 如 图 4-52 
所 示 。 
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图 4-52 显示 有 效 权限 


4.4.3 文件 或 文件 夹 的 所 有 权 


NTFS 文件 系统 中 每 个 文件 与 文件 夹 都 有 “所 有 者 ”, 默认 情况 下 , 创建 文件 或 文件 夹 的 用 户 ， 
就 是 该 文件 或 文件 夹 的 所 有 者 。 所 有 者 可 以 更 改 其 所 拥有 的 文件 或 文件 夹 的 权限 , 而 管理 员 或 具有 
管理 员 权限 的 用 户 ， 可 以 “取得 ”所 有 者 权限 。 

打开 一 个 文件 夹 的 “高 级 安全 设置 ”对 话 框 ， 在 “所 有 者 ”选项 卡 中 ， 显 示 了 当前 的 所 有 者 ， 
如 果 要 修改 所 有 者 ， 请 单 击 “ 编 辑 ”按钮 ， 在 弹出 的 对 话 框 中 ， 单 击 “ 其 他 用 户 或 组 ”对 话 框 ， 添 
加 用 户 或 组 ， 添 加 之 后 ， 在 “将 所 有 者 更 改 为 ”列表 中 ， 选 择 用 户 或 组 ， 单 击 “ 确 定 ” 按 钮 既 可 完 
成 更 改 ， 如 图 4-53 所 示 。 如 果 要 蔡 换 子 目 录用 户 的 所 有 者 ， 请 同时 选中 “ 蔡 换 子 容 器 和 对 象 的 所 
有 者 ”。 
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4-53 ”所 有 者 权限 


4.5 ”NTFS 压缩 与 加 密 


NTFS 文件 系统 还 支持 “压缩 ”与 “加 密 ” 功 能 ， 采 用 压缩 后 ， 可 以 减少 磁盘 空间 的 占用 ; 而 
采用 加 密 的 文件 ,其 他 用 户 不 能 查看 其 内 容 。 不 能 对 同一 个 文件 或 文件 夹 同时 启用 压缩 与 加 密 功 能 ， 
二 者 只 能 使 用 其 一 。 


4.5.1 NTFS 压缩 
向 了 E 盘 的 test 文件 夹 中 复制 一 些 文件 与 文件 来， 然后 测试 其 “压缩 ”功能 ， 操 作 步 又 如 下 。 


0 和 右 击 test 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 “常规 ”选项 卡 中 ， 单 击 
“高 级 ”按钮 ， 如 图 4-54 所 示 。 

在 “常规 ”选项 卡 中 , 在“ 大小” 处， 显示 了 所 选 的 文件 夹 的 大 小 ， 本 例 中 为 13.0MB, 在“ 占 
用 空间 ”处 显示 了 占用 的 磁盘 空间 ， 本 例 为 13.4MB。 


io 到 在 弹出 的 “高 级 属性 ”对 话 框 中， 选中 “压缩 文件 内 容 以 使 节省 磁盘 空间 ” 复 选 框 ， 然 
后 单 击 “ 确 定 ”按钮 ， 如 图 4-55 所 示 。 


一 -一 | 一 


图 4-54 常规 属性 图 4-55 压缩 文件 内 容 
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3 返回 到 图 4-54 的 “常规 ”选项 卡 后 ， 单 击 “确定 ”按钮 。 会 弹出 “确认 属性 更 改 ” 对 话 
框 ， 选 中 “将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 文件 ”， 然 后 单 击 “ 确 定 ” 按 钮 ， 开 始 压 缩 ， 如 
图 4-56 所 示 。 
to 约 压缩 完成 后 ， 再 次 打开 该 文件 夹 属性 ， 在 “大 小 ”处 显示 文件 夹 大 小 仍然 为 13.0MB, 而 
“占用 空间 ”大 小 则 改 为 11.5MB， 比 原来 的 13.4MB 小 了 1.9MB， 这 是 压缩 之 后 节省 的 磁盘 空间 ， 
如 图 4-57 所 示 。 
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图 4-56 确认 压缩 属性 图 4-57 压缩 后 占用 空间 变 小 


4.5.2 ”加 密 文件 系统 


“加 密 文件 系统 (Encrypting File System， 简 称 EFS) ”提供 文件 加 密 的 功能 ， 文 件 经 过 加 密 
后 ， 只 有 当初 将 其 加 密 的 用 户 或 被 授权 的 用 户 才能 够 读 取 。 


重新 安装 操作 系统 ， 对 于 压缩 的 文件 ， 可 以 由 管理 员 解 压缩 。 对 于 不 具有 “有 效 权限 ”的 文件 或 文 
件 夹 ， 可 以 由 管理 员 通 过 “取得 所 有 权 ” 操 作 ， 获 得 或 更 改 所 有 权 。 但 使 用 EFS 加 密 的 文件 ， 在 重新 安 
装 操作 系统 后 ， 如 果 没 有 备份 原 加 密 用 户 的 密 钥 ， 则 加 密 的 文件 将 不 能 打开 。 所 以 ，EFS 具有 相当 高 的 
安全 性 。 


ti 出 打开 test 文件 夹 的 属性 ， 在 “高 级 属性 ”对 话 框 中 ， 选 中 “加 密 内 容 以 便 保护 数据 ” 复 
选 框 ， 然 后 单 击 “确定 ” 一 “确定 ”按钮 ， 如 图 4-58 所 示 。 
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四 2 在 弹出 的 “确认 属性 更 改 ” 对 话 框 中 ， 单 击 “ 确 定 ” 
按钮 ， 如 图 4-59 所 示 。 

i@03j 在 将 文件 加 密 之 后 ， 其 他 用 户 可 以 复制 (如 果 有 读 取 
权限 ) 加 密 后 的 文件 或 文件 夹 ， 但 不 能 打开 文件 查看 其 内 容 。 

94 如 果 要 “解密 ”或 “解压 缩 ” 文 件 或 文件 夹 ， 可 以 在 Te | 
图 4-55 或 图 4-58 中 ， 取 消 选 中 “压缩 内 容 以 便 节 省 磁盘 空间 ” 图 4-59 确认 加 密 
或 “加 密 内 容 以 便 保 护 数 据 ” 的 选项 既 可 。 


4.5.3 备份 EFS 加 密 证 书 


如 果 对 计算 机 上 的 数据 进行 了 加 密 ， 则 当 加 密 密 钥 出 现 意外 情况 时 ， 而 又 无 法 恢复 数据 时 ， 
该 数据 将 会 丢失 。 若 要 确保 始终 可 以 访问 加 密 数 据 ， 应 当 将 加 密 密 钥 进行 备份 。 备 份 EFS 加 密 密 
钥 〈 证 书 ) 的 步骤 如 下 。 

iD 和 从 “开始 ”菜单 打开 “运行 ”对 话 框 , 输入 certmgr.msc， 然 后 按 回 车 键 ， 如 图 4-60 所 示 。 

ti 到 定位 到 “证 书 -当前 用 户 一 个 人 ~ 证 书 ”， 在 右 侧 选中 EFS 加 密 证 书 ， 单 击 鼠 标 右键 ， 在 
弹出 的 快捷 菜单 中 选择 “所 有 任务 一 导出 ”命令 ， 如 图 4-61 所 示 。 


EE 了 可 


图 4-60 ”执行 证 书 管理 单元 图 4-61 导出 证 书 
ij 在 “导出 私 铀 ”对 话 框 ， 选 中 “是 ， 导 出 私 铀 ” 单 选 按钮 ， 如 图 4-62 所 示 。 
i 细 在 “导出 文件 格式 ”对 话 框 ， 选 择 默认 值 。 
io 色 在 “密码 ”对 话 框 ， 输 入 并 确认 密码 ， 以 后 将 使 用 该 密码 导入 证 书 ， 如 图 4-63 所 示 。 


EE a 


图 4-62 导出 私 钥 图 4-63 设置 密码 保护 证 书 
6 在 “要 导出 的 文件 ”对 话 框 ， 为 导出 的 证 书 指定 一 个 文件 名 并 选择 保存 路 径 ， 如 图 4-64 
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所 示 。 
四 到 证 书 导 出 完成 后 ,将 图 4-64 中 的 文件 保存 到 安全 的 位 置 ， 建议 将 该 文件 压缩 并 保存 到 多 
个 不 同 的 位 置 ， 例 如 ， 保 存在 邮箱 的 网 络 存储 中 、 保 存 到 其 他 计算 机 中 等 。 
t@Q8 如 果 采 用 EFS 加 密 的 文件 (或 文件 夹 ) 所 属 的 操作 系统 出 现 问题 ， 重 新 安装 后 ， 如 果 要 
“打开 ”或 “解密 ”EFS 加 密 文件 ， 则 应 打开 证 书 管理 单元 , 在 右 侧 窗 格 中 选择 “所 有 任务 一 导入 ” 
命令 (如 图 4-65 所 示 ) ， 然 后 导入 图 4-64 中 导出 的 文件 既 可 。 


ERIEERETTTITTESI 
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rn 
图 4-64 指定 证 书 导出 文件 名 及 保存 路 径 图 4-65 导入 EFS 证书 


4.6 ”Bit Locker 驱动 器 加 密 


Windows BitLocker 驱动 器 加 密 是 用 于 客户 端 计算 机 的 Windows Vista、Windows 7 以 及 
Windows Server 2008 、Windows Server 2008 R2 操作 系统 中 的 一 项 可 用 的 数据 保护 功能 , Windows 
BitLocker 驱动 器 加 密 是 一 项 加 密 功能 ， 可 用 于 对 计算 机 附加 的 一 个 或 多 个 卷 〈 驱 动 器 ) 进行 加 密 ， 
还 可 以 使 用 受信 任 的 平台 模块 CTPM) 来 验证 早期 启动 组 件 的 完整 性 。 


4.6.1 BitLocker 的 硬件 和 软件 需求 
以 下 是 使 用 BitLocker 需 满足 的 条 件 。 


@ 运行 Windows Vista、Windows 7 的 企业 版 、 旗 舰 版 或 Windows Server 2008 、Windows 
Server 2008 R2 的 计算 机 。 

e@ 正常 操作 的 受信 任 的 平台 模块 (TPM ) 微 芯 片 版 本 1.2 或 安全 的 可 移动 USB 设备 。 

@ 与 受信 任 计算 组 (TCG ) 兼容 的 BIOS。 

@ 两 个 NTFS 驱动 器 分 区 ， 一 个 用 于 系统 卷 ， 一 个 用 于 操作 系统 卷 。 

@ 首先 从 硬盘 驱动 器 (而 不 是 USB 或 CD 驱动 器 ) 启动 计算 机 的 BIOS 设置 。 

由 于 BitLocker 对 整个 数据 卷 进行 加 密 ， 所 以 需要 为 计算 机 配置 用 于 启动 的 活动 分 区 ， 该 分 
区 将 从 操作 系统 卷 中 独立 出 来 ， 这 称 为 “负载 拆 分 配置 ”。 用 户 数 据 存储 在 操作 系统 卷 或 其 他 数据 
卷 上 ， 这 些 卷 也 可 以 通过 BitLocker 进行 加 密 。 
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4.6.2 BitLocker 与 EFS 的 区 别 


BitLocker 驱动 器 加 密 和 EFS 加 密 文件 系统 之 间 有 许多 不 同 之 处 。BitLocker 专门 用 于 计算 机 
被 盗 或 未 经 授权 的 用 户 试图 访问 计算 机 时 , 保护 安装 Windows 驱动 器 上 的 所 有 个 人 文件 和 系统 文 
件 。EFS 以 每 个 用 户 为 基础 ， 保 护 任何 驱动 器 上 的 单独 文件 。 表 4-2 显示 了 BitLocker 驱动 器 加 
密 和 EFS 之 间 的 主要 不 同 之 处 。 


表 4-2 BitLocker 与 EFS 之 间 的 主要 不 同 之 处 
EFS 加 密 文件 系统 
EFS 将 加 密 任何 驱动 器 上 的 单独 文件 


BitLocker 驱动 器 加 密 

BitLocker 将 加 密 安装 Windows 的 驱动 器 上 的 所 有 个 人 
文件 和 系统 文件 

BitLocker 并 不 依赖 与 文件 关联 的 单独 用 户 账户 。 
BitLocker 适用 于 所 有 用 户 或 组 


EFS 将 根据 与 其 关联 的 用 户 账户 来 加 密 文 件 。 如 果 计 算 机 
有 具有 多 个 用 户 或 组 ， 则 每 个 用 户 或 组 ) 可 以 单独 加 密 各 
自 的 文件 


BitLocker 使 用 受信 任 的 平台 模块 TPM), 该 模块 是 某 些 | EFS 并 不 需要 (或 不 使 用 ) 任何 特殊 硬件 


新 型 计算 机 中 一 种 支持 高 级 安全 功能 的 特殊 微 芯片 


启用 BitLocker 加 密 之 后 ， 只 有 管理 员 才能 打开 或 关闭 
BitLocker 加 密 

可 以 同时 使 用 BitLocker 驱动 器 加 密 和 加 密 文 件 系 统 获取 由 这 两 种 功能 提供 的 保护 。 在 使 用 
EFS 时 ， 加 密 密 钥 将 与 计算 机 的 操作 系统 一 同 存储 。 尽 管 进行 了 加 密 ， 但 如 果 黑 客 能 够 启动 或 访 
问 系统 驱动 器 ， 则 使 用 该 加 密 方 式 仍 可 能 存在 危险 。 如 果 将 BitLocker 安装 在 另 一 台 计算 机 上 ， 
则 使 用 BitLocker 对 系统 驱动 器 进行 加 密会 防止 启动 或 访问 系统 驱动 器 ， 从 而 帮助 保护 这 些 密 钥 。 


4.6.3 添加 BitLocker 功能 


而 使 用 EFS 则 不 必 具 有 管理 员 身份 


使 用 BitLocker 驱动 器 加 密 的 时 候 ， 由 于 在 系统 启动 时 ， 需 要 读 取 TPM 或 USB 设备 ， 而 目前 
的 许多 虚拟 机 软件 (VMware Workstation、Windows Virtual PC) 不 支持 在 系统 启动 前 使 用 USB 设 
备 ， 所 以 , 不 能 在 虚拟 机 中 做 这 个 实验 。 在 本 节 中 ,将 在 物理 主机 上 安装 Windows Server 2008 R2， 
并 为 系统 卷 ( 安 装 Windows 操作 系统 的 分 区 ) 添加 BitLocker。 如 果 在 非 系统 卷 〈 例 如 D 盘 、E 
盘 ) 启用 BitLocker， 则 不 需要 TPM 或 USB 设备 ， 所 以 可 以 在 虚拟 机 中 做 非 系统 卷 的 BitLocker 
实验 。 


WO 使 用 管理 员 账户 登录 Windows Server 2008 R2， 进 入 “服务 器 管理 器 一 存储 一 磁盘 管理 ” 
中 , 可 以 看 到 有 1 个 100MB 的 “系统 保留 ”分 区 ， 以 及 安装 Windows Server 2008 R2 的 系统 卷 ( 大 
约 33.03GB ) ， 如 图 4-66 所 示 。 这 符合 BitLocker 驱动 器 加 密 对 “磁盘 分 区 ”的 要 求 。 

3 运行 gpeditmsc, 打开 “本 地 组 策略 编辑 器 ”, 定位 到 “计算 机 配置 一 管理 模板 一 Windows 
组 件 一 BitLocker 驱动 器 加 密 一 操作 系统 驱动 器 ”， 双 击 右 侧 的 “启动 时 需要 附加 身份 验证 ”命令 ， 
如 图 4-67 所 示 。 

to3j 在 打开 的 “启动 时 需要 附加 身份 验证 ”对 话 框 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 并 选中 “ 没 
有 兼容 的 TPM 时 允许 BitLocker” 复 选 框 ， 这 样 ， 如 果 没 有 TPM 芯片 的 计算 机 ， 可 以 用 口 盘 代替 
TPM 芯片 ， 如 图 4-68 所 示 。 设置 之 后 单 击 “确定 ”按钮 ， 然 后 关闭 本 地 组 策略 编辑 器 。 
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图 4-66 磁盘 分 区 列表 


CEETETT 


sf WR J] 
图 4-67 ”修改 BitLocker 驱动 器 加 密 策略 图 4-68 ”启用 口 盘 启 用 BitLocker 功能 
io 细 打开 “服务 器 管理 器 ”窗口 ， 右 击 “ 功 能 ”， 在 弹出 的 快捷 菜单 中 选择 “添加 功能 ” 命 


令 ， 或 者 在 “功能 ”列表 中 单 击 “ 添 加 功能 ”链接 ， 如 图 4-69 所 示 。 
四 9) 在 “选择 功能 ”对 话 框 中 ， 选 中 “BitLocker 驱动 器 加 密 ” 复 选 框 ， 如 图 4-70 所 示 。 


Fe 


图 4-69 添加 功能 4-70 添加 BitLocker 驱动 器 加 密 
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to08j 添加 BitLocker 功能 后 ， 根 据 提示 ， 重 新 启动 计算 机 ， 如 图 4-71 所 示 。 


二 本 EEEEEEEE :过 | 
5 
站 一天 站 二， 有 了 
Ps, 
[TreeT3 E77 
Ft 


4-71 安装 BitLocker 后 重新 启动 计算 机 
4.6.4 在 Windows Server 2008 R2 系统 卷 上 启用 BitLocker 


添加 BitLocker 驱动 器 加 密 功 能 之 后 ， 再 次 进入 Windows Server 2008 R2， 插 入 U 盘 ， 为 系统 
卷 启 用 BitLocker 加 密 ， 主 要 步骤 如 下 。 


史 打开 “控制 面板 ”， 在 “查看 方式 ”中 选择 “小 图 标 ”， 然 后 单 击 “BitLocker 驱动 器 加 
密 ” 选 项 ， 如 图 4-72 所 示 。 

3 打开 “BitLocker 驱动 器 加 密 ” 控 制 面 板 ， 在 当前 列表 中 ， 显 示 了 系统 中 所 有 的 磁 盘 与 分 
区 ， 从 列表 中 可 以 看 到 ， 当 前 计算 机 的 磁盘 没有 启用 BitLocker 驱动 器 加 密 功 能 。 如 果 想 对 某 个 磁 
盘 (分 区 或 卷 ) 启用 BitLocker 功能 ， 只 要 在 所 选 的 分 区 后 面 单 击 “ 启 用 BitLocker” 链 接 ， 并 根据 
提示 进行 操作 既 可 。 在 本 次 操作 中 ， 我 们 将 把 C 盘 启 用 BitLocker 加 密 ， 如 图 4-73 所 示 (确认 计 
算 机 中 已 经 插入 口 盘 )。 


ee | 
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图 4-72 BitLocker 驱动 器 加 密 4-73 ”启用 BitLocker 


I03) 在 弹出 的 “您 要 启动 BitLocker 安装 程序 吗 ? ”提示 框 中 ， 单 击 “ 是 ”按钮 ， 如 图 4-74 


t@ 绝 在 “设置 BitLocker 启动 首选 项 ”对 话 框 ， 选 择 “ 每 次 启动 时 要 求 启动 密 钥 ”选项 ， 如 
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图 4-75 所 示 。 


BitLecker 驱动 器 加 密 


图 4-74 启动 BitLocker 安装 程序 图 4-75 每 次 启动 时 要 求 启动 密 钥 
io 曙 在 “保存 启动 密 钥 ”对话 框 中 ， 系 统 列 出 检测 到 的 T 盘 ， 如 图 4-76 所 示 。 单 击 “ 保 存 ” 
按钮 ， 将 启动 密 钥 保 存 到 癌 盘 中 。 
to@j 在 “和 您 希望 如 何 存储 恢复 密 钥 ” 对 话 框 中 ， 根 据 需 要 ， 将 恢复 密 钥 保 存 到 U 盘 、 文 件 ， 
或 者 用 打印 机 直接 将 恢复 密 钥 打印 出 来 。 可 根据 情况 进行 选择 ， 如 图 4-77 所 示 。 


BE i TREETE3D 
加 


图 4-77 保存 恢复 密 钥 


请 将 恢复 密码 保存 到 安全 的 位 置 ， 最 好 再 将 恢复 密 钥 打印 并 将 打印 件 保存 到 安全 的 位 置 ， 以 后 如 


果 保 存 启动 密 钥 的 U 盘 出 错 、 或 者 计算 机 的 USB 设备 出 错 ， 可 以 用 此 恢复 密 钥 恢复 加 密 的 BitLocker 
驱动 器 。 


ti 到 在 “是 否 准备 加 密 该 驱动 器 ”对 话 框 中 ， 选 中 “运行 BitLocker 系统 检查 ” 复 选 框 ， 然 后 
单 击 “继续 ”按钮 ， 如 图 4-78 所 示 。 

io8j 在 弹出 的 “必须 重新 启动 计算 机 ”对 话 框 中 ， 单 击 “ 立 既 重新 启动 ”按钮 ， 重 新 启动 计 
算 机 ， 如 图 4-79 所 示 。 
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图 4-78 运行 BitLocker 系统 检查 图 4-79 立 既 重新 启动 


然后 ， 计 算 机 将 重新 启动 ， 并 在 启动 的 过 程 中 ， 保 持 U 盘 不 要 拔 出 ， 当 “BitLocker 系统 检查 ” 
通过 并 再 次 进入 系统 后 ， 将 会 开始 加 密 系 统 卷 ， 此 时 打开 “BitLocker 驱动 器 加 密 ” 控 制 面板 ， 可 


以 看 到 “加 密 进 行 中 ”的 提示 ， 同 时 启用 BitLocker 加 密 卷 前 面 出 现 的 多 、 图 标 ， 如 图 4-80 
所 示 。 
此 时 ， 双 击 右 下 角 任 务 栏 上 的 < 国 ， 图 标 ， 会 出 现 “ 正 在 加 密 ” 的 进度 提示 ， 如 图 4-81 所 示 。 


4-80 ”加 密 进行 中 图 4-81 正在 加 密 系统 卷 


BitLocker 驱动 器 加 密 、 解 密 是 需要 时 间 的 ， 以 笔者 实验 的 系统 为 例 (4GB 内 存 、Core E7200、 
系统 卷 使 用 了 约 13.5GB) ， 加 密 大 约 耗 时 50 分 钟 。 

返回 到 BitLocker 驱动 器 加 密 控制 面板 ， 当 BitLocker 驱动 器 加 密 完成 后 ， 加 密 后 的 卷 会 有 三 
个 选项 (如 图 4-82 所 示 ) : “关闭 BitLocker”( 用 于 关闭 BitLocker 驱动 器 加 密 ) 、“ 挂 起 保护 ” 
(暂时 停 用 BitLocker 驱动 器 加 密 功 能 ， 这 在 需要 更 新 BIOS 时 使 用 ) 、“ 管 理 BitLocker”〔 用 来 
保存 或 打印 恢复 密 钥 、 复 制 启动 密 钥 等 ) 。 


BitLocker 驱动 器 加 密 - 硬盘 驱动 器 
ws08r2 (C:) 粤 关闭 BitLocker 
2 辐 持 起 保护 


“Bg 


4-82 ”BitLocker 驱动 器 加 密 选项 
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4.6.5 关闭 BitLocker 驱动 器 加 密 


BitLocker 恢复 密 钥 是 一 系列 数字 ， 可 以 用 “记事 本 ”打开 保存 的 BitLocker 恢复 密 钥 (4.6.4 
节 图 4-77 中 保存 ) ， 记 下 BitLocker 恢复 密 钥 ， 如 图 4-83 所 示 。 


Er EE 
| 


省 .i 请 将 这 要 标记 与 惰 各 屏幕 上 显示 的 标记 
# 行 比 艇 。 


上 


图 4-83 BitLocker 恢复 密 钥 


如 果 不 想 再 使 用 BitLocker 驱动 器 加 密 功 能 ， 有 两 种 办 法 : 一 是 拔 下 加 密 TU 盘 ， 重 新 启动 计算 
机 后 ， 再 提示 插入 U 盘 , 或 者 解密 BitLocker 驱动 器 时 , 按 回 车 键 , 输入 图 4-83 中 的 “恢复 密 钥 ”， 
即 可 解密 BitLocker 驱动 器 。 

二 是 在 图 4-82 的 BitLocker 驱动 器 加 密 控制 面板 中 ， 单 击 “ 关 闭 BitLocker” 链 接 ， 选 择 关 闭 
BitLocker 功能 。 无 论 采用 何 种 方式 ， 都 可 以 完成 将 BitLocker 驱动 器 解密 的 功能 。 另 外 ，BitLocker 
的 解密 与 加 密 耗费 大 约 相 同 的 时 间 。 


4.6.6 ”如 何 使 用 BitLocker 驱动 器 准备 工具 


在 安装 Windows Server 2008 时 ， 如 果 没 有 创建 100MB 的 “系统 保留 ”分 区 ， 将 不 能 启用 
BitLocker， 此 时 可 以 从 “http://support.microsoft.comykb/933246” 下 载 BitLocker 驱动 器 准备 工具 ， 
而 不 需要 重新 安装 操作 系统 来 启用 BitLocker 功能 。BitLocker 驱动 器 准备 工具 可 自动 执行 下 列 过 
程 以 正确 配置 硬盘 驱动 器 。 


e@ 如 果 有 1 个 卷 ， 则 创建 第 2 个 卷 ， 这 个 卷 大 约 1.5GB， 必 须 用 NTFS 文件 系统 格式 化 。 

@ 将 启动 文件 移 至 相应 的 卷 ， 并 确保 对 操作 系统 进行 了 正确 的 配置 ， 以 便 以 后 在 启动 时 可 找 
到 这 些 文件 。 

e@ 在 驱动 器 上 将 相应 的 卷 配置 为 用 于 启动 的 活动 分 区 .。 


BitLocker 驱动 器 准备 工具 完成 上 述 过 程 后 ， 必 须 重新 启动 计算 机 ， 这 样 即 可 对 计算 机 的 硬盘 
驱动 器 进行 正确 配置 。 此 外 ， 还 必须 初始 化 或 配置 受信 任 的 平台 模块 (TPM) 才能 启用 BitLocker。 
下 面 将 在 Windows Server 2008 的 虚拟 机 中 ， 介 绍 “BitLocker 驱动 器 准备 工具 ”的 使 用 。 


0 进入 “服务 器 管理 器 一 存储 一 磁盘 管理 ”中 ， 确 认 安装 Windows Server 2008 的 磁盘 只 有 
一 个 分 区 ， 如 果 有 多 个 分 区 则 删除 其 余 分 区 ， 并 将 第 1 个 分 区 进行 扩展 ， 使 用 整个 磁盘 ， 如 图 4-84 
所 示 。 

tog 运行 下 载 的 BitLocker 驱动 器 准备 工具 ， 如 图 4-85 所 示 。 
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图 4-84 整理 磁盘 只 有 一 个 分 区 图 4-85 运行 BitLocker 驱动 器 准备 工具 
io3j 安装 完成 后 ， 从 “开始 一 程序 一 附件 一 系统 工具 一 BitLocker” 程 序 组 中 ,选择 “BitLocker 
驱动 器 准备 工具 ”， 如 图 4-86、 图 4-87 所 示 。 


图 4-86 继续 图 4-87 准备 驱动 器 

四 4 运行 BitLocker 驱动 器 准备 工具 之 后 ， 重 新 启动 计算 机 ， 如 图 4-88 所 示 。 

四 9 再 次 进入 系统 后 ， 打 开 “ 磁 人 盘 管 理 ”， 可 以 看 到 ， 当 前 已 经 创建 了 一 个 盘 符 为 S、 大 小 
为 1.46GB 的 主 分 区 ， 这 满足 了 BitLocker 驱动 器 加 密 的 分 区 要 求 ， 如 图 4-89 所 示 。 


图 4-88 重新 启动 计算 机 4-89 ”创建 分 区 完成 
接 下 来 ， 就 可 以 参照 前 文 步骤 ， 启 用 BitLocker 驱动 器 加 密 功 能 了 。 


第 1 篇 基础 服务 配置 管理 与 应 用 


47 磁盘 配额 


在 Windows Server 2008 中 ， 支 持 “ 磁 盘 配 额 ” 与 “文件 夹 配额 ”两 种 配额 方式 。 磁 盘 配 额 是 
在 磁盘 分 区 一 级 ， 对 不 同 的 用 户 设置 磁盘 配额 项 ; 而 文件 夹 配额 是 在 文件 夹 中 ,对 不 同 的 用 户 分 配 
磁盘 配额 项 。 无 论 是 磁盘 配额 还 是 文件 夹 配 额 ， 都 要 求 使 用 NTFS 文件 系统 。 在 默认 情况 下 ,磁盘 
配额 与 文件 夹 配额 并 没有 使 用 ,也 就 是 说 ,允许 所 有 用 户 无 限制 的 使 用 磁盘 空间 ， 直 到 空间 占 满 为 
止 。 本 节 介 绍 启用 磁盘 配额 、 创 建 磁盘 配额 的 方法 和 步骤 。 


ETEE3ITET 可 


t@ 贡 打开 “资源 管理 器 ”, 用 鼠标 右 击 要 启用 磁盘 配额 的 分 区 ， | eM ME 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 磁盘 属性 对 话 框 。 本 a 
节 以 打开 C 分 区 属性 为 例 进行 说 明 。 0 

02 在 “配额 ”选项 卡 中 ， 选 中 “启用 配额 管理 ” 复 选 框 ， 如 me 
图 4-90 所 示 。 < 

三 用 户 要 本 各 妥 创 时 记 生 事 件 公 | 

如 果 选 中 “拒绝 将 磁盘 空间 给 超过 配额 项 的 用 户 ” 复 选 框 ， 那 全 
么 当 用 户 在 此 磁盘 上 使 用 的 空间 超过 配额 项 时 ， 就 无 法 再 向 此 磁盘 ET 
内 写 任何 数据 ， 此 时 的 该 磁盘 分 区 属性 内 ， 可 用 空间 为 0。 如 果 不 
选中 此 项 ， 既 使 用 户 在 此 磁盘 上 使 用 的 空间 超过 配额 项 ， 仍 然 可 以 
继续 将 新 的 数据 保存 到 此 磁盘 中 。 

如 果 选 中 “不 限制 磁盘 使 用 ”， 则 新 创建 的 用 户 ， 将 可 以 无 限制 使 用 此 磁盘 空间 ， 如 果 选 中 
“将 磁盘 空间 限制 为 ”， 并 且 设 置 限制 的 大 小 ， 例 如 2GB， 则 新 建 用 户 〈 在 启用 磁盘 配额 功能 后 ) 
最 大 只 能 使 用 2GB。 在 “将 警告 等 级 设 为 ”并 且 设置 大 小 后 ， 当 用 户 使 用 的 空间 达到 警告 大 小 时 ， 
系统 会 向 用 户 发 出 警告 提示 。 

在 “选择 该 卷 的 配额 记录 选项 *”， 可 以 选择 是 否 对 用 户 超出 配额 项 、 警 告 等 级 时 进行 记录 。 

如 果 要 启用 配额 ， 可 单 击 “ 应 用 ”按钮 ， 为 图 4-90 的 设置 启用 配额 。 


CE wh | saw 
图 4-90 配额 管理 


I03) 如 果 要 对 系统 已 有 的 用 户 创建 新 的 配额 项 ， 须 在 图 4-90 中 ， 单 击 “ 配 额 项 ”按钮 ， 打 开 
配额 项 管理 对 话 框 ， 如 图 4-91 所 示 。 
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LE EE 了 
图 4-91 配额 项 
to 绚 在 图 4-91 中 ， 单 击 “ 配 额 ” 菜 单 ， 选 择 “ 新 建 配额 项 ”命令 ， 在 弹出 的 “选择 用 户 ” 对 
话 框 中 ， 选 择 要 进行 磁盘 配额 的 用 户 ， 例 如 ws01， 将 弹出 “添加 新 配额 项 ”对 话 框 ， 在 此 对 话 框 
中 ， 为 选中 的 用 户 选 择 限 制 空 间 及 警告 空间 ， 如 图 4-92 所 示 。 
to 色 在 创建 配额 项 后 ， 也 可 以 删除 创建 的 配额 项 ， 如 图 4-93 所 示 。 
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图 4-92 新 建 配额 项 图 4-93 ”删除 配额 项 


tQg 如 果 要 关闭 磁盘 配额 ， 可 以 在 “配额 ”选项 卡 中 ， 取 消 选中 “启用 配额 管理 ” 复 选 框 ， 
并 单 击 “ 确 定 ” 按 钮 ， 既 可 关闭 配额 ， 如 图 4-94 所 示 。 
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图 4-94 ”关闭 磁盘 配额 


4.8 文件 夹 配额 与 文件 屏蔽 


磁盘 配额 ， 只 能 对 整个 分 区 进行 配置 。 如 果 用 户 需要 有 不 同 的 配额 ， 只 能 在 规划 磁盘 分 区 时 ， 
创建 多 个 分 区 ,并 且 在 不 同 的 分 区 为 用 户 创建 不 同 的 配额 。 并 且 ， 分 配给 用 户 的 配额 并 不 能 区 分 用 
户 是 用 来 保存 数据 ， 还 是 保存 电影 、 音 乐 等 。 从 Windows Server 2003 R2 开始 ，Windows Server 引 
入 了 “文件 夹 配 额 ” 与 “文件 屏蔽 ”功能 ， 以 满足 管理 员 对 文件 系统 、 文 件 空间 更 进一步 管理 的 需 
求 。 使 用 “文件 夹 配额 ”, 管理 员 可 以 在 同一 个 分 区 , 在 不 同 的 文件 夹 中 ， 对 用 户 进行 不 同 的 配额 。 
而 使 用 “文件 屏蔽 ”功能 , 可 以 限制 用 户 保存 在 文件 夹 中 的 文件 类 型 是 管理 员 所 允许 的 类 型 , 例如 ， 
只 允许 用 户 保存 文档 而 不 能 保存 MP3 文件 等 。 


4.8.1 添加 文件 服务 器 资源 管理 器 
在 本 小 节 中 ， 将 介绍 如 何 添加 文件 服务 器 资源 管理 器 ， 步 骤 如 下 。 


to 凤 进入 “服务 器 管理 器 ”， 添 加 角色 ， 在 “选择 服务 器 角色 ”对 话 框 中 ， 选 中 “文件 服务 ” 
复 选 框 ， 如 图 4-95 所 示 。 


2 在 “选择 角色 服务 ”对 话 框 中 ,选中 “文件 服务 器 资源 管理 器 ” 复 选 框 ， 如 图 4-96 所 示 。 
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图 4-95 ”添加 文件 服务 图 4-96 文件 服务 器 资源 管理 器 


四 3) 在 “配置 存储 使 用 情况 监视 ”对 话 框 中 ， 选 择 C 分 区 ， 如 图 4-97 所 示 。 
to 多 在 “设置 报告 选项 ”对 话 框 ， 选 择 默认 值 ， 如 图 4-98 所 示 。 


Se zz | 
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图 4-97 配置 存储 使 用 情况 监视 图 4-98 设置 报告 选项 


to 色 在 “确认 安装 选择 ”对 话 框 ， 单 击 “ 安 装 ” 按 钮 ， 开 始 安装 文件 服务 器 资源 管理 器 。 安 
装 完成 之 后 ， 单 击 “ 关 闭 ” 按 钮 ， 如 图 4-99 所 示 。 
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图 4-99 ”安装 完成 


磁盘 与 文件 系统 管理 ”第 4 党 


4.8.2 创建 文件 夹 配额 
本 小 节 在 C 盘 创建 一 个 Filel 的 文件 夹 ， 在 该 文件 夹 创建 文件 夹 配额 ， 步 又 如 下 。 


四 和 在 “服务 器 管理 器 ”对 话 框 中 ， 定 位 到 “角色 一 文件 服务 一 共享 和 存储 管理 一 文件 服务 
器 资源 管理 器 一 配额 管理 一 配额 ”， 在 右 侧 的 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “创建 
配额 ”命令 ， 如 图 4-100 所 示 。 

tO3 在 “创建 配额 ”对 话 框 中 ， 在 “配额 路 径 ” 选 项 组 中 ， 单 击 “浏览 ”按钮 ， 浏 览 选 择 要 
启用 文件 夹 配额 的 目录 ， 在 本 例 中 为 C:\File1， 然 后 选中 “在 现 有 子 文件 夹 和 新 的 子 文件 夹 中 自动 
应 用 模板 并 创建 配额 ” 复 选 框 ， 在 “从 此 配额 模板 派生 属性 ”下 拉 列 表 中 ， 选 择 适合 的 配额 ， 如 图 
4-101 所 示 。 如 果 列 表 中 的 配额 不 适用 ， 可 以 单 击 “ 定 义 自 定义 配额 属性 ”并 单 击 “ 自 定义 属性 ” 
对 话 框 ， 设 置 自 定义 的 配额 。 


ET 


: | 
图 4-100 创建 配额 图 4-101 选择 配额 
to3j 选择 配额 模板 之 后 ， 单 击 “创建 ”按钮 ， 创 建文 件 夹 配额 。 
to 约 在 “配额 管理 一 配额 模板 ”中 ， 列 出 了 系统 自 定义 的 模板 ， 如 图 4-102 所 示 。 可 以 双击 
某 个 模板 进行 修改 ， 也 可 以 在 此 创建 新 的 模板 。 
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4-102 ”配额 模板 
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4.8.3 创建 文件 屏蔽 
本 小 节 介绍 创建 文件 屏蔽 的 操作 ， 步 骤 如 下 。 


0 出 定位 到 “文件 服务 器 资源 管理 器 一 文件 屏蔽 管理 ~ 文件 屏蔽 ”， 在 右 侧 的 空白 窗 格 中 右 
击 ， 在 弹出 的 快捷 菜单 中 ， 选 择 “ 创 建文 件 屏蔽 ”命令 ， 如 图 4-103 所 示 。 

iQ3 在 弹出 的 “创建 文件 屏蔽 ”对 话 框 中 ， 在 “文件 屏蔽 路 径 ” 中 选择 C:\Filel 文件 夹 ， 表 
示 将 在 该 文件 夹 启 用 文件 屏蔽 。 然 后 在 “从 此 文件 屏蔽 模板 派生 属性 ”下 拉 列 表 中 ， 选 择 要 屏蔽 的 
文件 类 型 ， 如 图 4-104 所 示 。 在 本 例 中 选择 “阻止 音频 文件 和 视频 文件 ”。 


图 4-103 ”创建 文件 屏蔽 图 4-104 选择 文件 屏蔽 类 型 


tQ3j 创建 文件 屏蔽 后 ， 将 阻止 指定 类 型 的 文档 保存 在 启用 文件 屏蔽 的 目录 中 。 

ti 级 还 可 以 创建 “文件 屏蔽 例外 ”， 保 存 用 户 指定 的 文档 。 在 图 4-103 中 ， 选 择 “ 创 建文 件 
屏蔽 例外 ”， 将 打开 “创建 文件 屏蔽 例外 ”对 话 框 ， 在 “例外 路 径 ” 中， 选择 C:\Filel， 然 后 在 “ 文 
件 组 ”列表 中 ， 选 择 从 屏蔽 中 排除 的 文件 组 ， 以 保存 指定 的 文件 ， 如 图 4-105 所 示 。 在 本 例 中 选择 
了 “Office 文件 ”、“ 电 子 邮 件 文件 ”、“ 图 像 文件 ”、“ 文 本 文件 ”、“ 压 缩 文件 ”等 。 

05) 创建 文件 屏蔽 后 如 图 4-106 所 示 。 


图 4-105 创建 文件 屏蔽 例外 图 4-106 文件 屏蔽 


. 154 。 
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也 可 以 在 图 4-106 中 , 选中 创建 的 文件 屏蔽 或 文件 屏蔽 例外 进行 删除 。 或 者 在 “文件 屏蔽 管理 
器 一 文件 屏蔽 模板 ”中 管理 或 添加 、 删 除 模板 。 
4.8.4 测试 文件 夹 配额 与 文件 屏蔽 

打开 “资源 管理 器 ”测试 文件 夹 配额 与 文件 屏蔽 ， 步 骤 如 下 。 

0 和 打开 Ci\Filel 文件 夹 ， 向 其 中 拷贝 文本 文件 或 图 像 文件 (或 者 创建 扩展 名 为 bmp 或 txt 


的 文件 ) ， 拷 贝 成 功 ， 如 图 4-107 所 示 。 
tO3 向 文件 中 拷贝 音频 或 视频 文件 ， 出 现 错误 ， 如 图 4-108 所 示 。 
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4-108 不 能 复制 音频 文件 


to 引 拷贝 其 他 文件 ， 当 复制 的 文件 超过 100MB 时 ， 出 现 “ 磁 人 盘 空 间 不 足 ”错误 提示 ， 如 
图 4-109 所 示 。 


图 4-109 ”提示 磁盘 空间 不 足 


4.9 文件 和 打印 机 共享 
在 不 同 的 计算 机 之 问 ， 如 果 有 “文件 ”或 “文件 夹 ”等 数据 需要 交换 或 拷贝 ， 通 常 有 以 下 几 
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种 方式 : 

(1) 使 用 可 移动 介质 。 可 以 将 文件 复制 到 任何 可 移动 介质 中 ， 包 括 U 盘 、 移 动 硬 盘 、CD、 
DVD 和 闪存 卡 。 然 后 可 以 将 该 介质 插 到 另 一 台 计 算 机 上 ， 将 文件 复制 到 该 计算 机 中 ， 或 将 该 可 移 
动 介质 交 给 要 共享 文件 的 人 ， 让 他 们 自己 复制 文件 。 

(2) 通过 电子 邮件 。 如 果 只 需要 共享 一 两 个 文件 ， 且 文件 不 大 ， 那 么 最 简单 的 方式 便 是 将 其 
附加 到 电子 邮件 中 实现 共享 。 

(3) 网 站 或 FTP 服务 器 。 通 过 网 站 的 “网 络 共享 ”或 FTP 服务 器 实现 共享 。 

(4) 使 用 既 时 消息 软件 。 大 多 数 即 时 消息 软件 允许 用 户 在 与 其 他 人 联机 聊天 时 共享 文件 ， 例 
如 QQ 与 MSN， 都 可 以 在 聊天 的 双方 之 间 传送 文件 (QQ 还 可 以 传送 文件 夹 ) 。 

(5) 共享 文件 夹 。 对 于 局 域 网 来 说 ， 使 用 “共享 文件 夹 ” 是 最 简单 、 也 是 最 方便 的 方式 。 


4.9.1 共享 文件 夹 与 共享 权限 


本 节 将 介绍 共享 文件 夹 的 使 用 。 

使 用 “共享 文件 夹 ”， 可 以 让 局 域 网 中 的 其 他 计算 机 ， 通 过 “共享 文件 夹 ”访问 服务 器 端 提 
供 的 资源 。 在 使 用 “共享 文件 夹 ” 的 时 候 ， 服 务 器 与 客户 端 只 是 相对 的 ， 凡 是 提供 “共享 文件 夹 ” 
服务 的 ， 都 可 以 称 作 “服务 器 端 ”， 例 如 ， 在 某 些 时 间 ， 如 果 一 台 Windows XP 的 工作 站 创建 并 提 
供 共享 文件 夹 服 务 ， 且 一 台 Windows Server 2008 需要 访问 并 使 用 这 人 台 Windows XP 提供 的 共享 文 
件 夹 , 则 此 时 Windows XP 可 以 称 作 “服务 器 端 ”， 而 Windows Server 2008 则 可 以 称 作 “客户 端 ”。 

网 络 服务 或 网 络 应 用 的 目的 ， 是 让 指定 的 用 户 、 在 指定 的 时 间 、 以 指定 的 行为 或 指定 的 权限 、 
访问 指定 的 资源 。 共 享 文件 夹 也 不 例外 , 为 了 让 网 络 中 的 客户 端 安全 、 可 靠 的 访问 或 使 用 服务 器 端 
提供 的 共享 资源 ， 必 须 对 “共享 文件 夹 ” 做 出 权限 设置 。 通 常 来 说 ， 共 享 权 限 包括 “ 读 取 ”、“ 更 
改 ” 与 “完全 控制 ” 几 种 。 

共享 文件 夹 提 供 了 一 个 “访问 接 入 点 ”， 当 用 户 使 用 “共享 文件 夹 ”访问 服务 器 提供 的 资源 
时 ， 除 了 受 “ 共 享 权限 ”限制 外 ， 还 与 服务 器 端 所 共享 的 文件 夹 的 “NTFS” 权 限 限 制 有 关 。“ 共 
享 文件 夹 ” 只 是 一 个 “相对 ”的 权限 ， 而 “NTES 权限 ” 则 是 一 个 “绝对 ”的 权限 。 例 如 ， 在 服务 
器 上 ，E 得 有 个 abcd 的 文件 夹 ， 设 置 了 两 个 共享 ， 共 享 名 分 别 为 aaaa 与 bbbb， 如 果 aaaa 与 bbbb 
的 共享 权限 不 同 ， 则 用 户 通过 aaaa 与 bbbb 共享 文件 名 访问 服务 器 下 盘 的 abcd 文件 夹 时 ， 其 权限 
也 是 不 同 的 。 

当 通 过 共享 文件 夹 访问 服务 器 提供 的 资源 时 ， 用 户 的 权限 是 所 使 用 的 共享 文件 夹 权 限 与 文件 
夹 本 身 的 NTFS 权限 的 “交集 ”， 例 如 ，abcd 文件 夹 的 权限 是 对 所 有 用 户 “ 读 取 与 更 改 ”， 而 aaaa 
的 权限 是 对 所 有 用 户 “ 读 取 ”、bbbb 的 权限 是 对 所 有 用 户 有 “和 更改” 权限 ， 则 用 户 通过 aaaa 访问 
时 ， 用 户 的 有 效 权限 是 “ 读 取 ”， 而 通过 bbbb 共享 点 访问 时 ， 用 户 的 有 效 权限 是 “更 改 ”。 


4.9.2 创建 共享 文件 夹 


下 面 通 过 一 个 具体 的 实例 ， 介 绍 在 服务 器 的 E 盘 创 建 一 个 名 为 software 的 文件 来， 并 将 其 创 
建 为 共享 文件 夹 ， 设 置 共享 权限 的 方法 ， 主 要 步骤 如 下 。 


0 和 关闭 Windows 2008 的 虚拟 机 ， 并 向 虚拟 机 中 再 次 添加 一 个 100GB 左右 的 虚拟 硬盘 ， 然 
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后 打开 Windows 2008 虚拟 机 ， 进 入 系统 后 ， 在 “计算 机 管理 ~ 存储 一 磁盘 管理 ”中 ， 为 新 建 的 硬 
盘 创 建 两 个 分 区 ， 人 盘 符 分 别 为 三 和 上 F， 如 图 4-110 所 示 。 


2 打开 “资源 管理 器 ”， 定 位 到 下 盘 ， 在 了 人 盘 创 建 一 个 名 为 software 的 文件 夹 ， 用 鼠标 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 “共享 ”命令 ， 如 图 4-111 所 示 。 


[EEC 
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图 4-111 共享 
tO3 在 弹出 的 “文件 共享 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 前 面 的 “本 下 拉 按 钮 ， 在 弹出 的 
下 拉 列 表 中 ， 选 择 要 与 其 共享 的 用 户 或 用 户 组 ， 如 图 4-112 所 示 。 在 本 例 中 ， 选 择 “Everyone” 用 
户 组 ， 该 用 户 组 代表 所 有 用 户 。 
t0 约 在 选择 要 添加 的 用 户 或 组 后 ， 单 击 “ 添 加 ”按钮 ， 将 其 添加 到 列表 中 ， 然 后 在 添加 的 用 
户 (或 组 ) 一 行 中 ， 在 “权限 级 别 ” 列 表 中 ， 单 击 “Ww” 下 拉 按 钮 ， 在 弹出 的 权限 中 ， 选 择 要 分 


配 的 权限 ， 这 可 以 从 “读者 一 读 取 权限 ”、“ 参 与 者 ”、“ 共 有 者 ”之 间 选 择 ， 如 图 4-113 所 示 。 
设置 之 后 ， 单 击 “ 共 享 ”按钮 


图 4-112 ”选择 用 户 组 


图 4-113 更改 或 添加 权限 
也 可 以 单 击 < 了， 下 拉 按 钮 ， 再 次 添加 其 他 用 户 ， 然 后 在 用 户 与 权限 列表 中 ， 修 改 或 添加 、 删 
除权 限 。 


95 在 “您 的 文件 夹 已 共享 ”对 话 框 中 ， 单 击 “完成 ”按钮 ， 共 享 完成 ， 如 图 4-114 所 示 。 
图 中 同时 显示 了 其 他 计算 机 访问 该 共享 文件 夹 的 路 径 ， 在 本 例 中 为 \WS08R2\software， 其 中 
WS08R2 是 服务 器 的 计算 机 名 称 ，software 是 共享 文件 名 称 。 在 实际 使 用 中 ， 也 可 以 用 服务 器 的 卫 
地 址 、DNS 名 称 ， 或 者 其 他 只 要 能 解析 到 WS08R2 的 瑟 地 址 的 名 称 都 可 以 代替 WS08R2。 
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图 4-114 共享 完成 
4.9.3 创建 隐 含 共享 文件 来 


如 果 要 为 一 个 文件 夹 创建 多 个 共享 名 称 , 或 者 要 创建 “ 隐 含 ”共享 名 称 的 共享 文件 夹 ， 可 以 按 
照 如 下 的 步骤 进行 操作 。 


0 打开 资源 管理 器 ， 右 击 要 创建 共享 的 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
如 图 4-115 所 示 。 

tOg 在 弹出 的 “software 属性 ”对 话 框 中 ， 在 “共享 ”选项 卡 中 ， 单 击 “ 高 级 共享 ”按钮 ， 
如 图 4-116 所 示 。 


图 4-115 属性 图 4-116 ”高 级 共享 


3| 在 弹出 的 “高 级 共享 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 (如 图 4-117 所 示 ) ， 在 弹出 的 “新 
建 共享 ”对 话 框 中 ， 在 “共享 名 ”文本 框 中 ， 输 入 新 的 共享 文件 来 名 称 ， 如 果 要 创建 隐 含 共享 ， 则 
在 共享 名 后 以 $ 结 尾 ， 如 图 4-118 所 示 。 


图 4-117 添加 共享 图 4-118 创建 共享 名 


= |B 
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0 如 果 要 修改 共享 权限 ， 可 以 在 图 4-118 中 ， 单 击 “ 权 限 ” 按 钮 ， 
将 弹出 “共享 权限 ”对 话 框 ， 在 该 对 话 框 中 ， 添 加 要 共享 的 组 名 或 用 户 ， 
然后 选中 用 户 和 组 进行 权限 设置 ， 如 图 4-119 所 示 。 

to 外 在 设置 完 权限 之 后 ， 三 次 单 击 “确定 ”按钮 、 然 后 单 击 “ 关 闭 ” 
按钮 ， 完 成 隐 含 共享 文件 夹 的 创建 。 


4.9.4 测试 共享 文件 夹 
本 小 节 测 试 前 文 创建 的 共享 文件 夹 ， 主 要 步 又 如 下 。 


图 4-119 设置 共享 权限 


0 在 网 络 中 的 其 他 计算 机 , 或 者 在 Windows 2008 计算 机 中 , 打开 “网 络 ”( 如 果 是 Windows 
XP、Windows Server 2003 则 是 “网 上 邻居 ”) ， 浏 览 选择 名 为 WS08R2 的 计算 机 ， 可 以 看 到 前 文 
创建 的 名 为 software 的 共享 ， 如 图 4-120 所 示 。 


图 4-120 ”浏览 共享 
三 说 明 

也 可 以 打开 资源 管理 器 ， 通 过 输入 “\Wws08r2” 或 “\Wws08r2” 的 IP 地 址 ( 不 包括 双 引 号 ) 然后 按 回 
车 键 的 方式 ， 直 接 “ 浏 览 ”服务 器 的 共享 文件 夹 。 


2 如 果 要 使 用 “ 隐 售 ”共享 文件 夹 ， 只 能 通过 直接 输入 共享 服务 器 的 名 称 (或 全 地 址 、 或 
DNS 名 称 ) 再 加 入 隐 含 共享 文件 夹 名 称 的 方式 访问 ,例如 ， 在 本 例 中 ， 可 以 通过 在 “地 址 栏 ” 中 
输入 \Wws08r2\soft$ 的 方式 , 使 用 隐 含 共享 文件 夹 ， 
如 图 4-121 所 示 。 
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在 具有 多 个 VLAN 的 网 络 中 , 如 果 客 户 端 与 服 
务 器 不 在 同一 网 段 ， 在 使 用 类 似 于 ws08r2 的 


NetBIOS 名 称 时 ， 需 要 在 网 络 中 配置 DNS 服务 器 或 
WINS 服务 器 进行 解析 ， 否 则 会 由 于 VLAN 屏蔽 广 
播 的 原因 ， 导 致 不 能 以 NetBIOS 名 称 访问 服务 器 。 
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4-121 使 用 隐 含 共享 文件 夹 
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4.9.5 ”公用 文件 夹 


在 Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 中 ， 还 可 以 通 
过 “公用 文件 夹 ”的 方式 ,在 多 个 用 户 之 间 共 享 数据 。“ 公 用 文件 夹 ”使 用 比较 简单 ， 如 果 能 直接 
登录 到 服务 器 ， 可 以 直接 打开 “资源 管理 器 ”， 然 后 定位 到 “桌面 一 公用 ”， 将 需要 共享 的 数据 复 
制 到 “公用 文件 夹 ” 的 不 同 目录 之 中 即 可 ， 其 他 用 户 登 录 之 后 就 可 以 访问 或 使 用 公用 文件 夹 中 的 数 
据 ， 如 图 4-122 所 示 。 

如 果 让 用 户 通过 网 络 访问 服务 器 的 “公用 文件 夹 ”， 则 可 以 将 “公用 文件 夹 ”共享 。 共 享 公 
用 文件 夹 的 方式 很 简单 ， 可 以 通过 “4.9.2 创建 共享 文件 夹 ” 的 方式 ， 将 “公用 文件 夹 ” 共 享 ， 也 
可 以 打开 “控制 面板 一 网 络 和 共享 中 心 ”， 在 “共享 和 发 现 ” 列 表 中 ， 启 用 “公用 文件 夹 共享 ”， 
加 


图 4-123 所 示 。 


zz 
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图 4-122 公用 文件 夹 图 4-123 ”公用 文件 夹 共享 


4.10” 卷 影 副本 


“ 卷 影 副本 ”是 在 “共享 文件 夹 ” 基 础 上 的 一 种 应 用 。 共 享 文件 夹 的 卷 影 副 本 提供 位 于 共享 资 
源 (例如 ,文件 服务 器 ， 上 的 实时 文件 副本 。 通 过 使 用 共享 文件 夹 的 卷 影 副 本 ， 用 户 可 以 查看 在 过 
去 某 个 时 刻 存在 的 共享 文件 和 文件 夹 。 访问 文件 的 以 前 版 本 或 卷 影 副 本 非常 有 用 , 原因 是 用 户 可 以 
实现 下 面 的 操作 。 


@ 恢复 被 意外 删除 的 文件 。 如 果 用 户 意外 删除 了 某 个 文件 ， 则 可 以 打开 以 前 的 版 本 ， 然 后 将 
其 复制 到 安全 的 位 置 。 

@ 恢复 意外 覆盖 的 文件 。 如 果 用 户 意外 和 覆盖 了 某 个 文件 ， 则 可 以 恢复 该 文件 的 前 一 版 本 。 

@ 在 处 理 文件 的 同时 对 文件 版 本 进行 比较 。 当 用 户 希 望 检 查 一 个 文件 的 两 个 版 本 之 间 发 生 的 
更 改 时 ， 可 以 使 用 以 前 的 版 本 。 


4.10.1 使 用 卷 影 副本 的 注意 事项 
使 用 卷 影 副本 的 注意 事项 如 下 : 
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(1) 当 用 户 恢复 文件 时 ， 文 件 权限 不 会 更 改 ， 权 限 在 恢复 前 后 没有 变化 。 当 用 户 恢复 一 个 意 
外 删除 的 文件 时 ， 文 件 权限 将 被 设 为 该 目录 的 默认 权限 。 

(2) 创建 卷 影 副 本 不 能 蔡 代 创建 常规 备份 。 

(3) 当 存 储 区 域 达到 限制 值 之 后 ， 将 删除 最 旧 的 卷 影 副 本 ， 从 而 留 出 空间 以 便 创 建 更 多 卷 影 
副本 。 删 除 卷 影 副 本 之 后 ， 将 无 法 检索 该 副本 。 

(4) 可 以 调整 存储 位 置 、 空 间 分 配 和 计划 以 满足 需要 。 在 “本 地 磁盘 属性 ”对 话 框 的 “ 卷 影 
副本 ”选项 卡 上 ， 单 击 “ 设 置 ”按钮 。 

(5) 每 个 卷 上 最 多 可 以 存储 64 个 卷 影 副 本 。 达 到 该 限制 值 之 后 ， 将 删除 最 旧 的 卷 影 副本 ， 
且 无 法 检索 该 副本 。 

(6) 卷 影 副本 是 只 读 的 。 不 能 编辑 卷 影 副本 的 内 容 。 

(7) 只 能 针对 每 个 卷 启 用 共享 文件 夹 的 卷 影 副 本 ， 也 就 是 说 ， 不 能 在 卷 上 选择 要 进行 复制 或 
不 进行 复制 的 特定 共享 文件 夹 和 文件 。 


4.10.2 ”启用 卷 影 副 本 功能 


本 小 节 以 在 E 盘 的 software 共享 文件 来、 在 下 盘 启 用 卷 影 副本 为 例 ， 介 绍 启 用 卷 影 副 本 的 方 
法 ， 步 又 如 下 。 


to 出 打开 “资源 管理 器 ”， 右 击 卫 盘 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”， 打 开 卫 盘 属 性 对 
话 框 ， 单 击 “ 卷 影 副本 ”选项 卡 ， 选 中 E 盘 ， 单 击 “ 设 置 ”按钮 ， 在 弹出 的 “设置 ”对 话 框 中 ， 
在 “位 于 此 卷 ” 下 拉 列表 中 选择 F'\， 将 卷 影 副本 保存 于 盘 ， 如 图 4-124 所 示 。 


过 PR 际 呆 | 
林原 网 | 


确定 取消 ;i 
图 4-124 设置 卷 影 副 本 
02) 如 果 要 修改 创建 卷 影 副本 的 安排 ， 则 单 击 “ 计 划 ” 按 钮 ， 在 弹出 的 对 话 框 中 ， 可 以 根据 
管理 员 的 需要 ,设置 创建 卷 影 副 本 的 间隔 时 间 ， 如 图 4-125 所 示 。 可 以 删除 系统 默认 的 时 段 ， 然 后 
单 击 “ 新 建 ”按钮 ， 创 建新 的 计划 。 
如 果 使 用 默认 值 启用 卷 上 的 共享 文件 夹 的 卷 影 副本 ， 系 统 会 计划 任务 ， 在 上 午 7:00 和 中 午 
12:00 时 创建 卷 影 副本 。 默 认 存储 区 域 将 位 于 同样 的 卷 上 ， 而 且 其 大 小 将 是 可 用 空间 的 10%。 
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设置 好 计划 之 后 ， 单 击 “确定 ”按钮 ， 再 次 单 击 “ 确 定 ”按钮 ， 返 回 到 了 盘 属 性 对 话 框 。 


03 在 启用 卷 影 副 本 之 后 ， 系 统 将 会 在 图 4-125 中 指定 的 时 刻 ， 自 动 创建 卷 影 副 本 。 在 启用 
卷 影 副 本 时 ， 只 能 针对 每 个 卷 启用 共享 文件 夹 的 卷 影 副 本 ， 也 就 是 说 ， 不 能 在 卷 上 选择 要 进行 复制 
或 不 进行 复制 的 特定 共享 文件 夹 和 文件 。 

0 旨 如 果 要 立刻 创建 卷 影 副 本 ， 可 以 单 击 “ 立 既 创 建 ” 按 钮 ， 随 时 创建 共享 文件 夹 的 即时 快 
照 。 也 可 以 选中 不 需要 的 卷 影 副本 ， 单 击 “ 立 既 删除 ”按钮 ， 删 除 不 需要 的 卷 影 副本 。 也 可 以 选中 
一 个 副本 ， 单 击 “ 还 原 ” 按 钮 ， 将 共享 文件 夹 中 的 数据 恢复 到 快照 时 间 点 ， 如 图 4-126 所 示 。 
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图 4-125 ”创建 计划 图 4-126 管理 卷 影 副 本 


如 果 在 图 4-126 中 ， 对 卷 影 副本 进行 了 还 原 ， 则 E 盘 共 享 文件 夹 中 的 数据 会 恢复 到 还 原 时 的 状态 ， 
以 后 时 刻 的 卷 影 副 本 将 会 被 删除 ， 并 且 不 能 再 被 恢复 。 


t@g 对 于 普通 用 户 来 说 ， 当 通过 网 络 使 用 共享 文件 夹 ， 访 问 具有 卷 影 副 本 功能 的 共享 文件 夹 
时 ， 可 以 在 共享 文件 夹 的 “属性 ”( 如 图 4-127 所 示 ) 对 话 框 中 ， 在 “以 前 的 版 本 ”选项 卡 中 ， 查 
看 创建 的 多 个 卷 影 副本 ， 如 图 4-128 所 示 。 
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图 4-127 共享 文件 夹 属性 图 4-128 ”以 前 的 版 本 
to8j 用 户 可 以 在 图 4-128 中 ， 选 中 一 个 卷 影 副 本 时 间 点 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 查 看 “ 快 


磁盘 与 文件 系统 管理 ”第 4 党 


照 ” 时 的 共享 文件 夹 中 的 内 容 ， 如 图 4-129 所 示 。 此 时 ， 可 以 在 打开 的 卷 影 副本 处 ， 复制 、 查 看 当 
时 的 状态 。 
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图 4-129 查看 快照 时 的 数据 
4.10.3 ” 卷 影 副本 的 最 佳 操作 


为 了 充分 发 挥 卷 影 副 本 的 功能 与 效果 ， 推 荐 采用 如 下 操作 方式 。 

(1) 最 好 不 要 在 同一 个 磁盘 上 启用 卷 影 副本 ， 推 荐 在 另 一 个 磁盘 上 选择 一 个 单独 的 卷 作为 卷 
影 副本 的 存储 区 域 。 

在 未 进行 卷 影 复制 的 磁盘 上 选择 一 个 存储 区 域 。 如 果 使 用 另 一 个 磁盘 上 单独 的 卷 ， 将 不 会 发 
生 高 IO 负载 导致 卷 影 副本 被 删除 的 情况 ， 而 且 会 大 大 提高 性 能 。 对 于 使 用 率 高 的 服务 器 ， 这 是 
推荐 的 配置 。 

(2) 启用 共享 文件 夹 的 卷 影 副本 并 设置 计划 选项 之 前 ， 确 定 客户 端 使 用 共享 资源 的 方式 。 调 
整 卷 影 副 本 计划 以 适合 客户 端的 工作 模式 。 

(3) 不 要 在 使 用 装 入 点 的 卷 上 启用 卷 影 副本 。 

当 获 取 卷 影 副本 时 ， 安 装 的 驱动 器 将 不 包括 在 内 。 仅 在 没有 装 入 点 的 卷 上 启用 卷 影 副本 ， 或 
者 在 不 希望 对 安装 卷 上 的 共享 资源 进行 卷 影 复制 时 启用 卷 影 副 本 。 

(4) 对 文件 服务 器 执行 常规 备份 。 

共享 文件 夹 的 卷 影 副本 不 能 蔡 代 执 行 常规 备份 。 将 备份 实用 程序 和 共享 文件 夹 的 卷 影 副 本 结 
合 使 用 ， 作 为 最 佳 恢复 准备 。 

(5) 不 要 将 副本 计划 为 每 小 时 发 生 多 次 。 

创建 卷 影 副 本 的 默认 计划 是 周一 到 周 五 的 早上 7:00 和 中 午 。 如 果 决 定 要 更 频繁 地 获取 副本 ， 
须 确 认 已 分 配 了 足够 的 存储 空间 ， 以 及 你 的 复制 频率 不 会 导致 服务 器 性 能 降低 。 另 外 ,副本 计划 还 
有 一 个 上 限 ， 即 每 个 卷 最 多 可 以 存储 64 个 副本 ， 达 到 这 个 限制 之 后 将 删除 最 旧 的 副本 。 如 果 获 取 
卷 影 副 本 太 过 频繁 ， 可 能 会 很 快 达到 该 限制 值 ， 时 间 较 早 的 副本 也 会 很 快 丢失 。 

(6) 在 删除 进行 卷 影 复制 的 卷 之 前 ， 要 先 删除 用 于 创建 卷 影 副本 的 计划 任务 。 

如 果 在 没有 删除 卷 影 副本 任务 的 情况 下 删除 卷 ， 计 划 任 务 就 会 失败 ， 事 件 日 志 中 就 会 写 入 一 
个 事件 巧 为 7001 的 错误 。 在 删除 卷 之 前 先 删 除 任务 ， 可 避免 事件 日 志 中 写 入 这 种 错误 。 

(7) 在 格式 化 将 要 启用 共享 文件 夹 的 卷 影 副本 的 源 卷 时 ， 使 用 16KB 或 更 大 的 分 配 单元 。 
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如 果 计划 对 启用 共享 文件 夹 的 卷 影 副本 的 源 卷 进行 磁盘 碎片 整理 ， 建 议 在 初次 对 源 卷 进行 格 
式 化 时 ， 将 群集 分 配 单元 的 大 小 设 为 16 KB 或 更 大 。 如 果 不 这 样 做 ， 由 磁盘 碎片 整理 引起 的 数量 
更 改 可 能 会 导致 以 前 版 本 的 文件 被 删除 。 

如 果 需 要 在 源 卷 上 压缩 NTFS 文件 , 则 不 能 使 用 大 于 4 KB 的 分 配 单元 。 因为 在 这 种 情况 下 
当 对 非常 零碎 的 卷 进行 磁盘 碎片 整理 时 ， 可 能 会 更 快 丢失 较 旧 的 卷 影 副本 。 


第 5 章 Internet 信息 服务 器 管理 与 应 用 


Internet 信息 服务 器 (Internet Information Server， 简 称 HS) 是 Windows Server 中 的 “Web 服 
务 器 ”， 它 包括 了 Web (网站) 服务 器 与 FTP (文件 传送 ) 服务 器 两 部 分 的 功能 。 本 节 介绍 如 何 
使 用 IIS 创建 、 配 置 Web 与 FTP 服务 器 。 


5.1 Web 服务 器 概述 


通过 Windows Server 2008 R2 中 的 Web 服务 器 角色 ,用 户 可 以 与 Internet\Intranet 或 Extranet 
上 的 其 他 用 户 共享 信息 。Windows Server 2008 提供 了 IIS 7.0，Windows Server 2008 R2 集成 了 IIS 
7.5。IIS 是 一 个 集成 了 IS、ASPNET、Windows Communication Foundation 的 统一 Web 平台 。 
Web 服务 器 是 指 具 有 人 允许 它们 接受 和 响应 来 自 客户 端 计算 机 的 请 求 的 特定 软件 的 计算 机 。 
Web 服务 器 允许 用 户 通 过 Internet 或 Intranet 和 Extranet 共享 信息 。 
通过 Web 服务 器 ， 可 以 实现 下 面 操作 : 
向 Intemet 上 的 用 户 提供 信息 。 
允许 用 户 利 用 FTP 或 万 维 网 分 布 式 创作 和 版 本 控制 (WebDAV ) 下 载 和 上 载 内 容 。 
承载 包含 三 层 应 用 程序 的 业务 逻辑 的 Web 服务 。 
通过 Intemmet 而 不 是 软盘 或 CD 等 物理 介质 向 用 户 分 发 应 用 程序 。 


Web 服务 器 可 供 不 同 的 用 户 使 用 ， 并 能 满足 不 同 的 需要 。 例 如 : 


日 小 型 企业 可 能 会 使 用 简单 的 网 站 来 提供 有 关 其 服务 的 信息 。 

e 中 型 企业 可 能 会 通过 站 点 内 的 各 种 应 用 程序 编译 的 在 线 订购 系统 来 提供 产品 和 服务 。 

e@ 大 型 企业 可 能 会 通过 企业 Intranet 为 员工 开发 和 提供 业务 应 用 程序 。 

晶 ”托管 公司 可 能 会 为 各 个 客户 提供 服务 器 空间 和 服务 以 承载 不 同 的 联机 内 容 和 应 用 程序 。 
会 通过 Extranet 为 业务 合作 伙伴 提供 相关 信息 和 应 用 程序 。 


Web 与 FTP 服务 器 ， 也 是 典型 的 “客户 /服务 器 ”系统 结构 ， 通 常情 况 下 ， 根 据 用 户 的 需求 不 
同 ，Web 服务 器 可 能 有 以 下 三 种 应 用 ， 下 面 分 别 介绍 。 

第 一 种 ，Web 服务 器 用 于 企业 内 部 局 域 网 。 在 企业 内 部 的 服务 器 中 ， 安 装配 置 Web 与 /或 FTP 
服务 器 ， 企 业内 部 的 用 户 通过 TP 地 址 或 者 内 部 的 域名 访问 Web 服务 器 ， 网 络 拓扑 如 图 5-1 所 示 。 
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Web 与 FTP 服 务 器 
IP: 192. 168. 1. 10 
Windows Server 2008 


工作 站 1 工作 站 2 工作 站 3 
IP: 192. 168. 1. 21 IP: 192. 168. 1. 22 IP: 192. 168. 1. 23 
http://192. 168. 1. 10 http://192. 168. 1. 10 http://192. 168. 1. 10 


5-1 在 企业 内 部 中 的 Web 服务 器 


在 图 5-1 中 ，Web 服务 器 的 IP 地 址 是 192.168.1.10， 企 业内 部 的 其 他 计算 机 可 以 直接 使 用 
http://192.168.1.10 的 方式 ， 访 问 企 业内 部 的 Web 服务 器 。 

第 二 种 ，Web 服务 器 托管 或 放置 在 具有 公 网 IP 地 址 的 机 房 中 ，Internet 的 用 户 通过 域名 或 卫 
地 址 ， 访 问 该 Web 服务 器 提供 的 网 站 ， 网 络 拓扑 如 图 5-2 所 示 。 


DNS 服 务 器 


Sz oo 


Internet 用 户 Web 服 务 器 
http://www.msft. com IP:219. x.y.3 
Www. msft. com 


图 5-2 放置 在 公 网 上 的 Web 服务 器 


在 图 5-2 中 , IP 地 址 为 219.x.y.3 的 服务 器 上 , 放置 了 域名 为 www.msft.com 的 网 站 。 当 Internet 
上 的 用 户 试图 通过 www.msft.com 访问 该 网 站 时 ,首先 要 从 DNS 服务 器 解析 到 219.x.y.3 的 下 地 址 ， 
才能 访问 该 网 站 。 

第 三 种 则 是 前 两 种 的 组 合 应 用 。 企 业 的 Web 服务 器 ， 放 置 在 自己 的 机 房 中 ， 除 了 让 企业 内 部 
的 用 户 访问 外 ， 还 通过 防火 墙 发 布 到 Intemet， 供 Internet 的 用 户 访问 ， 网 络 拓扑 如 图 5-3 所 示 。 

在 图 5-3 中 , Web 服务 器 在 企业 网 络 中 的 人 P 地 址 是 192.168.1.10, 防火 墙 对 外 地 址 是 219.x.y.3。 
该 Web 服务 器 通过 防火 墙 发 布 到 Intemet 中 。 当 企业 内 部 用 户 访问 时 ， 可 以 通过 内 部 的 卫 地 址 
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http://192.168.1.10 或 通过 内 部 的 域名 http://www.msft.com 访问 。 在 企业 内 部 ，DNS 被 设置 为 
192.168.1.9， 该 DNS 服务 器 将 www.msft.com 解析 为 192.168.1.10。 在 Intemet 网 络 中 ，Internet 用 
户 使 用 域名 http://www.msft.com 访问 到 219.x.y.3 的 防火 墙 , 该 防火 墙 将 Internet 用 户 的 访问 转发 到 
192.168.1.10 的 Web 服务 器 ， 完 成 对 用 户 的 服务 。 


Web 与 FTP 服 务 器 内 部 
Inet 用 户 IP: 192. 168.1.10 DNS 服务 器 
ngs 网 关 : 192. 168.1.1 192. 168. 1.9 


http pass x 3 www.msft_ com 
bo 二 

外 网 ，219.x.y.3 

一 自 192. 168.1.1 


“一 和 


Tnternet 用 户 


工作 站 1 作 站 2 工作 站 3 
IP: 192. 168. 1. 21 IPp: 192. 168. 1. 22 IP，192. 168. 1. 23 
DRS:192. 168. 1.9 DNS: 192. 168. 1.9 DNS:192. 168. 1.9 

http://www.msft. com http://wws.msft. com http://ww. msft. com 

http://192. 168. 1. 10 http://192.168.1.10 。 http://192. 168. 1. 10 


ww msft. Com 
http://219.x.y.3 


Internet 网 络 企业 网 络 
5-3 ” 供 Internet 与 企业 访问 的 Web 服务 器 


通过 这 三 种 方式 可 以 看 到 ， 无 论 是 哪 种 方式 ， 对 于 Web 服务 器 来 说 ， 只 要 配置 好 网 站 (Web 
与 /或 FTP) ， 其 他 问题 则 是 防火 墙 或 DNS 解析 的 问题 。 所 以 ， 本 章 接 下 来 将 介绍 Web 与 FTP 服 
务 器 的 安装 、 配 置 。 


5.2 安装 Web 服务 器 


在 Windows Server (包括 以 前 的 Windows 2000 Server、Windows 2003 Server、 现 在 的 Windows 
Server 2008、Windows Server 2008 R2) 中 ， 大 多 数 的 服务 是 基于 “组 件 ” (Windows Server 2003 
及 其 以 前 的 叫 法 ) 或 “角色 ” (Windows Server 2008 及 其 以 后 ) 的 方式 组 成 ， 并 且 在 需要 的 时 候 
添加 ， 不 需要 的 时 候 印 载 。 在 Windows Server 2008 及 Windows Server 2008 R2 中 ， 大 多 数 的 服务 
器 都 是 通过 添加 角色 的 方式 来 添加 的 。 

在 Windows Server 2008 R2 中 ，Web 服务 器 是 一 个 集成 了 许多 功能 的 服务 器 , 可 以 在 添加 Web 
服务 器 的 时 候 ， 根 据 用 户 的 需求 ， 选 择 某 个 或 某 些 功能 。 下 面 介绍 添加 Web 服务 器 的 方法 与 步骤 。 


tO 册 以 管理 员 的 身份 登录 到 Windows Server 2008 R2， 打 开 “ 服 务 器 管理 器 ”窗口 ， 右 击 “ 角 
色 ”， 在 弹出 的 快捷 菜单 中 选择 “添加 角色 ”选项 (如 图 5-4 所 示 ) ,或 者 在 右 侧 的 角色 列表 中 单 
击 “添加 角色 ”链接 ， 都 可 以 进入 添加 角色 向 导 。 

03 在 “选择 服务 器 角色 ”对 话 框 中 ， 选 中 “Web 服务 器 ” 复 选 框 ， 此 时 将 会 弹出 “添加 角 
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色 向 导 一 是 否 添加 Web 服务 器 (IIS ) 所 需 的 功能 ”对 话 框 ， 单 击 “ 添 加 必需 的 功能 ”按钮 ， 如 
图 5-5 所 示 。 
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图 5-5 添加 必需 的 功能 


“添加 必需 的 功能 ”是 Windows Server 2008 及 Windows Server 2008 R2 的 一 项 新 改进 。 当 用 户 在 安 
装 一 个 产品 或 一 个 软件 、 或 一 个 功能 的 时 候 ， 如 果 Windows 检测 到 系统 缺少 必要 的 支持 软件 ， 则 会 弹出 
该 对 话 框 ， 提 示 并 可 以 自动 安装 所 需要 的 软件 。 以 后 ， 如 果 在 安装 软件 的 过 程 中 ， 出 现 该 类 似 提 示 ， 应 
单 击 “添加 必需 的 功能 ”按钮 ， 这 样 可 以 避免 安装 的 软件 出 现 问题 。 


这 个 功能 应 该 是 借鉴 了 Linux 的 Yum 软件 包 管理 的 功能 (Yum， 全 称 为 Yellow dog Updater 
Modified， 是 一 个 在 Fedora 和 RedHat 以 及 SUSE、CentOS 中 的 Shell 前 端 软件 包 管理 器 。 它 基于 
RPM 包 管 理 ,能 够 从 指定 的 服务 器 自动 下 载 RPM 包 并 且 安装 ， 可 以 自动 处 理 依赖 性 关系 ， 并 且 一 
次 安装 所 有 依赖 的 软体 包 ， 无 须 繁琐 地 多 次 下 载 、 安 装 )。 


to3j 在 “Web 服务 器 (IS ) ”简介 中 ， 显 示 了 Web 服务 器 的 简介 及 注意 事项 ， 阅 读 之 后 ， 
单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-6 所 示 。 


二 Web 服务 器 (TS) 


ssn [Re] 2 | a 
图 5-6 Web 服务 器 简介 
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9 弛 在 “选择 角色 服务 ”对 话 框 ， 在 “角色 服务 ”列表 ， 选 择 要 安装 的 Web 服务 器 的 对 应 功 
能 。 在 此 ， 选 择 每 一 个 服务 及 功能 ， 如 图 5-7、 图 5-8 所 示 。 在 实际 的 应 用 中 ， 可 根据 需要 选择 。 


J 


B20 Fn | ‘E90 so | wn 
图 5-7 选择 Web 角色 1 图 5-8 选择 Web 角色 2 


05) 在 “确认 安装 选择 ”对 话 框 ， 显 示 了 当前 要 安装 的 Web 服务 器 及 功能 ， 检 查 无 误 之 后 ， 
单 击 “ 安 装 ” 按 钮 ， 开 始 安装 ， 如 图 5-9 所 示 。 

to8j 安装 完成 之 后 ， 在 “安装 结果 ”对 话 框 ， 显 示 安 装 的 Web 服务 及 功能 ， 如 图 5-10 所 示 。 
单 击 “ 关 闭 ” 按 钮 ， 完 成 安装 。 


本 


图 5-9 确认 安装 选择 图 5-10 ”安装 完成 


在 安装 完 Web 服务 器 之 后 , 新 安装 的 Web 服务 器 出 现在 “服务 器 管理 器 一 角色 一 Web 服务 器 
(CIS) ”中 ， 用 户 可 以 在 此 管理 并 配置 Web 服务 器 。 安 装 Web 不 需要 重新 启动 ， 可 以 立即 使 用 。 
如 果 以 后 想 对 Web 服务 器 的 角色 进行 删除 或 添加 ， 可 以 定位 到 “服务 器 管理 器 一 角色 一 Web 
服务 器 (IS) ”， 在 右 侧 的 “角色 服务 ”列表 中 ， 单 击 “ 删 除 角色 服务 ”或 “添加 角色 服务 ” 链 
接 ( 如 图 5-11 所 示 ) ， 会 进入 “选择 角色 服务 ”对 话 框 ， 可 以 对 Web 服务 器 的 功能 进行 删除 或 添 
加 ， 如 图 5-12 所 示 。 
除了 可 以 添加 或 删除 角色 服务 外 ， 在 “服务 器 管理 器 一 角色 一 Web 服务 器 (IS) ” 右 侧 的 “ 摘 
要 ”列表 中 ， 还 可 以 查看 Web 服务 器 的 事件 、 管 理 Web 服务 器 相关 的 服务 等 ， 如 图 5-13 所 示 。 
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图 5-11 添加 或 删除 角色 服务 图 5-12 选择 角色 服务 


从 Windows Server 2008 开始 , 大 多 数 的 服务 器 
(如 DHCP、DNS、Web 服务 器 、 文 件 服务 器 等 ) ， 


已 经 集成 在 “服务 器 管理 器 ”中 , 并且 每 项 服务 都 集 
成 了 “事件 查看 器 ”、“ 系 统 服务 ”、 添 加 或 删除 角 
色 、“ 资 源 和 服务 ”等 功能 ， 以 方便 用 户 管理 、 使 用 
对 应 的 服务 。 


在 安装 好 Web 服务 器 之 后 , 打开 正 浏览 器 ， 
输入 localhost， 按 回 车 键 ， 出 现 如 图 5-14 所 示 的 
信息 ， 表 示 Web 服务 器 安装 正确 。 


internet information services 


5-14 ”Web 服务 器 默认 主页 
安装 好 Web 服务 器 之 后 ， 接 下 来 ， 我 们 将 通过 具体 的 实例 介绍 Web 服务 器 的 配置 与 管理 ， 主 
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要 内 容 包括 : 
(1) 在 一 台 服 务 器 上 创建 多 个 网 站 的 方法 与 步骤 。 
(2) Web 服务 器 的 配置 与 管理 。 
(3) FTP 服务 器 的 配置 与 管理 。 
下 面 将 一 一 介绍 。 


5.3 在 一 台 服 务 器 上 创建 多 个 网 站 


在 一 台 服 务 器 上 ， 创 建 多 个 网 站 的 方法 有 以 下 四 种 。 

(1) 人 P 地 址 法 : 在 Web 服务 器 上 设置 多 个 人 P 地 址 ， 每 个 了 P 地 址 对 应 1 个 网 站 。 

(2) 端口 法 : 每 个 TCP/IP 的 地 址 ， 可 以 使 用 1 一 65535 之 间 的 TCP 端口 ， 每 个 端口 可 以 对 应 
一 个 网 站 。 通 常 来 说 ， 在 使 用 “端口 法 ”时 ， 推 荐 的 端口 在 1024 一 65535 之 间 。 

(3) 主机 头 法 : 采用 DNS 名 称 的 方法 ， 每 个 网 站 采用 一 个 不 同 的 主机 头 。 

(4) 虚拟 目录 法 : 通过 创建 虚拟 目录 的 方法 ， 创 建 多 个 网 站 。 严 格 来 说 ， 虚 拟 目录 是 依赖 于 
一 个 或 多 个 网 站 ， 不 能 算 独 立 的 网 站 。 

如 果 Web 服务 器 主要 应 用 于 局 域 网 , 一般 多 采用 卫 地 址 法 、 端 口 法 , 或 者 两 者 的 组 合 创建 多 
个 网 站 ， 如 果 Web 服务 器 主要 用 于 Internet 网 络 ， 通 常 采 用 主机 头 法 。 当 然 ， 具 体 采用 哪 种 方法 ， 
或 者 综合 使 用 几 种 方法 ， 由 管理 员 根 据 实际 情况 选择 。 

接 下 来 ， 将 通过 表 5-1 的 实例 ， 介 绍 这 几 种 方法 。 


表 5-1 创建 网 站 详细 信息 


IP 地 址 | 端口。 [主机 头 。 | 网 站 位 置 。 ”| 客户 端 访问 地 址 
192.168.1.10 80 exvwebl http://192.168.1.10 
192.168.1.11 80 evweb2 http://192.168.1.11 
192.168.1.12 80 http://192.168.1.12 
192.168.1.10 8010 http:/192.168.1.10:8010 
192.168.1.10 8011 http://192.168.1.10:8011 
192.168.1.10 8012 http://192.168.1.10:8012 
192.168.1.10 80 Wwww.abc.com e:VWeb7-abc.com http://www.abc.com 
192.168.1.10 80 WWW.xyz.net €:\web8-xyz.net http://www.xyz.net 
192.168.1.10 80 abc.xyz.cn €:\Wweb9-abc.xyz http://abc.xyz.cn 

任意 人 P 8013 www.abc.com e:\web10-abc.com, http://www.abc.com:8013 
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在 IIS 服务 器 上 ， 如 果 服 务 器 的 “本 地 连接 ”中 绑 定 了 多 个 中 地 址 ， 可 以 在 IS 服务 器 上 ， 通 
过 为 不 同 的 网 站 选择 (设置 ) 不 同 的 下 地址 的 方法 ， 来 实现 多 个 网 站 。 


出 在 服务 器 上 设置 三 个 IP 地 址 ， 分 别 是 192.168.1.10、192.168.1.11 和 192.168.1.12， 如 
图 5-15 所 示 。 
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5-15 ”服务 器 上 设置 了 多 个 IP 地址 


default htm 的 文件 ， 每 个 文件 的 内 容 格式 如 下 : 
目录 名 网 站 打开 地 址 


例如 ， 对 于 E:\webl 文件 夹 中 default.htm 的 内 容 为 : 
E:'VWEB1 http://192.168.1.10 


对 于 E:\web10-abc.com 的 内 容 为 : 


E:VWEB1-abc.com http://www.abc.com:8013 


02 参照 表 5-1， 在 EE 盘 创建 10 个 目录 (如 图 5-16 所 示 ) ， 并 在 每 个 目录 中 ， 新 建 一 个 名 为 


可 以 使 用 “记事 本 ”在 每 个 目录 打开 defaulthtm 并 编辑 ， 如 图 5-17、 图 5-18、 图 5-19 所 示 。 
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5-17 用 “记事 本 ”编辑 defaulthtm 文件 


Internet 信息 服务 器 管理 与 应 用 。 第 5 党 


i = 


Pr 
pre 


图 5-18 编辑 webl 中 的 defaulthtm 文件 


5-19 ”编辑 web10-abc.com 中 的 defaulthtm 文件 
MO3 从 “所 有 程序 一 管理 工具 ”中 运行 “Intermet 信息 服务 (IIS ) 管理 器 ”, 选中 “Default Web 
Site” 选 项 ， 在 右 侧 的 “操作 ”列表 中 ， 单 击 “ 停 止 ”命令 ， 将 默认 网 站 (图 5-14 显示 的 内 容 ) 停 
止 ， 如 图 5-20 所 示 。 
0 弛 在 “网 站 ” 窗 格 中 ， 在 空白 位 置 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 网 站 ” 选 
项 (如 图 5-21 所 示 ) ， 或 者 在 “操作 ” 窗 格 单 击 “ 添 加 网 站 ”链接 ， 都 将 打开 新 建 网 站 对 话 框 。 
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图 5-20 停止 默认 网 站 图 5-21 添加 网 站 


05) 在 弹出 的 “添加 网 站 ”对 话 框 中 ， 在 “网 站 名 称 ”文本 框 中 ， 输 入 将 要 添加 的 网 站 的 名 
称 ， 在 “物理 路 径 ” 处 选择 将 要 添加 的 网 站 的 位 置 ， 在 “IP 地 址 ”下 拉 列表 中 ， 选 择 要 添加 的 网 
站 绑 定 的 了 地址 ， 在 “端口 ”文本 框 中 ， 指 定 网 站 所 绑 定 的 端口 (默认 为 80) ， 在 “主机 头 名 ” 
文本 框 中 ， 输 入 将 要 创建 的 网 站 的 主机 名 。 在 本 例 中 ， 参 照 图 5-21， 添 加 用 于 了 P 地 址 的 网 站 ， 首 


先 创建 第 1 个 网 站 ，IP 地 址 为 192.168.1.10、 网 站 路 径 为 evweb2， 如 图 5-22 所 示 。 设 置 好 之 后 ， 
单 击 “ 确 定 ”按钮 ， 创 建 第 1 个 网 站 。 


to8 然后 参照 图 5-22 的 步骤 ， 创 建 第 2、 第 3 个 网 站 。 

0 使 用 这 种 方法 创建 的 网 站 , 在 客户 端的 浏览 器 上 , 通过 http://ip 的 方式 就 可 以 访问 网 站 ， 
用 户 可 以 分 别 用 http://192.168.1.10、http://192.168.1.11、http://192.168.1.12 访问 网 站 ， 如 图 5-23 
所 示 。 
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图 5-22 创建 人 P 地 址 访问 的 网 站 图 5-23 测试 三 个 网 站 
5.3.2 ”使 用 端口 法 创建 Web 站 点 


在 安装 IIS 时 ， 创 建 的 第 一 个 网 站 (默认 网 站 ) 将 使 用 TCP 的 80 端口 。 实 际 上 ， 还 可 以 使 用 
其 他 端口 (通常 为 1024~65535 数值 》。 下 面 来 介绍 ， 怎 样 用 端口 法 访问 这 些 网 站 。 

参照 5.3.1 节 第 4 步 的 作法 ,创建 网 站 ,不 同 之 处 如 下 (以 创建 第 4、 第 5、 第 6 个 网 站 为 例 )。 

出 在 “网 站 名 称 ” 处 设置 网 站 名 为 web4-8010， 物 理 路 径 选 择 E:\web4-8010， 在 全 地 址 处 
选择 192.168.1.10， 端 口 处 设置 8010， 如 图 5-24 所 示 。 设 置 完成 后 ， 单 击 “ 确 定 ”按钮 。 
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图 5-24 ”以 端口 法 创建 网 站 
to3 对 于 第 5、 第 6 个 网 站 ， 可 以 参照 上 一 步骤 设置 。 
to3j 使 用 这 种 方法 创建 的 网 站 ， 在 地 址 栏 中 使 用 “http:// 服 务 器 他 地 址 : 端口 ”访问 对 应 的 
网 站 ， 用 户 可 以 使 用 http://192.168.1.10:8010、http://192.168.1.10:8011、http://192.168.1.10:8012 浏 
览 创建 的 第 4、 第 5、 第 6 个 网 站 ， 如 图 5-25 所 示 。 
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图 5-25 ”浏览 端口 法 创建 的 网 站 
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5.3.3 ”使 用 主机 头 名 创建 Web 站 点 


实际 上 ， 目 前 创建 Web 站 点 使 用 最 多 的 就 是 “主机 头 名 ”法 。 对 于 提供 服务 器 托管 的 公司 ， 
也 只 有 一 个 合法 的 人 P 地 址 ， 在 一 个 服务 器 上 放置 多 个 不 同 域名 的 网 站 ， 就 是 使 用 “主机 头 名 ”法 
保存 多 个 Web 站 点 。 

以 主机 头 名 法 创建 网 站 ， 与 使 用 了 P 地 址 、 端 口 法 创建 网 站 相似 ， 只 是 需要 在 “主机 名 ”中 ， 
指定 创建 网 站 的 “主机 名 (通常 为 对 外 显示 的 DNS 名 称 )” 即 可 ， 下 面 以 创建 第 7、 第 8、 第 9、 
第 10 个 网 站 为 例 进行 介绍 。 


to 出 打开 “添加 网 站 ”对 话 框 ， 在 “网 站 名 称 ” 中 ， 输 入 web7-www.abc.com， 设 置物 理 路 径 
为 E:\web7-abc.com， 在 IP 地 址 处 ， 选 择 该 网 站 要 绑 定 的 IP 地 址 ， 如 果 选 择 “全 部 未 分 配 ”表示 
可 以 使 用 该 服务 器 上 的 每 个 卫 地 址 ， 然 后 在 主机 名 处 输入 www.abc.com， 如 图 5-26 所 示 。 设置 完 
成 后 ， 单 击 “ 确 定 ” 按 钮 ， 添 加 网 站 。 

to3 然后 参照 上 述 步骤 ， 创 建 第 8、 第 9 个 网 站 。 

tQ3j 在 创建 第 10 个 网 站 时 ， 指 定 端口 为 8013， 主 机 名 为 www.abc.com， 如 图 5-27 所 示 。 


5-26 ”以 主机 头 法 创建 网 站 5-27 创建 第 10 个 网 站 


W044 在 创建 完 网 站 之 后 ， 可 以 看 到 ， 如 果 网 站 的 状态 没有 更 新 ， 可 以 在 左 侧 窗 格 中 用 鼠标 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 “刷新 ” ( 如 图 5-28 所 示 ) ， 在 刷新 之 后 ， 就 可 以 看 到 网 站 更 新 后 
的 状态 ， 如 图 5-29 所 示 。 
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图 5-28 刷新 网 站 图 5-29 刷新 网 站 后 的 状态 
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在 使 用 “主机 头 ” 法 创建 网 站 之 后 ， 如 果 要 测试 ， 需 要 将 www.abc.com 等 名 称 ， 解 析 成 对 应 
的 网 站 的 下 地 址 ， 我 们 可 以 通过 编辑 测试 端的 hosts 文件 ， 浏 览 测 试 这 些 网 站 ， 步 骤 如 下 。 


04 在 “运行 ”地 址 中 输入 ci\Wwindows\system32\drivers\etc\hosts， 如 图 5-30 所 示 。 
tog 在 弹出 的 “打开 方式 ”对 话 框 中 选择 “记事 本 ”， 如 图 5-31 所 示 。 


Pn 3 可- 
CN | mo- CEI _™ 
图 5-30 编辑 hosts 文件 图 5-31 用 记事 本 打开 hosts 文件 


to3 打开 之 后 ， 添 加 www.abc.com、www.xyz.net、abc.xyz.cn 到 192.168.1.10 的 解析 ， 如 
图 5-32 所 示 ， 然 后 保存 退出 。 
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127.0.0.1 localhost 


5-32 ”编辑 并 保存 hosts 文件 
I04 打开 正 浏览 器 ， 测 试 http://www.abc.com、http://www.xyz.net、http://abc.xyz.cn 网 站 ， 如 


图 5-33 所 示 。 
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图 5-33 ”以 主机 名 法 测试 网 站 
05) 最 后 ， 打 开 正 浏览 器 ， 测 试 http://www.abc.com:8013 网 站 ， 如 图 5-34 所 示 。 
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图 5-34 ”以 主机 名 、 端 口 法 测试 网 站 


5.4 ”管理 Web 服务 器 


在 掌握 了 如 何 创建 网 站 之 后 ， 接 下 来 ， 介 绍 Web 服务 器 中 每 个 网 站 更 加 详细 的 配置 。 我 们 以 
前 几 节 创建 的 网 站 为 例 进行 介绍 。 


5.4.1 Web 服务 器 总 体 配置 


打开 “Internet 信息 服务 《IIS) 管 理 器 ”， 在 左 侧 的 任务 窗 格 中 ， 选 择 一 个 创建 的 网 站 ， 例 如 
web10-abc.com-8013， 在 中 间 与 右 侧 的 窗 格 显示 了 网 站 的 所 有 配置 ， 如 图 5-35 所 示 。 
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图 5-35 网 站 配置 
在 图 5-35 的 “中 间 ” 窗 格 ， 默 认 显 示 的 是 “功能 视图 ”， 包括 “ASP.NET”、“IS”、“ 管 


管 
理 ” 三 大 部 分 , 在 IS 选项 中 , 用 户主 要 用 到 的 功能 有 : HTTP 重 定向 、IPv4 地 址 和 域 限制 、MIME 
类 型 、SSL 设置 、 错 误 页 、 默 认 文档 、 目 录 浏览 、 身 份 验 证 等 。 在 右 侧 的 窗 格 中 包括 : 浏览 、 编 辑 
权限 、 绑 定 、 基 本 设置 、 管 理 网 站 、 浏 览 网 站 、 配 置 等 。 部 分 功能 在 后 文中 将 会 详细 介绍 。 
在 图 5-35 中 ， 单 击 “ 内 容 视 图 ” 可 以 显示 网 站 中 的 内 容 ， 如 图 5-36 所 示 。 

用 鼠标 右 击 选中 的 网 站 ， 在 快捷 菜单 中 的 命令 有 : 浏览 、 编 辑 权限 、 添 加 应 用 程序 、 添 加 虚 
拟 目 录 、 编 辑 绑 定 、 管 理 网 站 、 刷 新 、 删 除 、 重 命名 等 ， 如 图 5-37 所 示 。 这 个 快捷 菜单 中 的 命令 ， 
有 些 与 右 侧 窗 格 “ 操 作 ” 中 的 命令 相同 。 
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图 5-37 ”右键 快捷 命令 
5.4.2 ”虚拟 目录 、 目 录 浏 览 与 默认 文档 


除了 可 以 通过 创建 网 站 (IP 地 址 法 、 主 机 头 法 、 端 口 法 ) 向 外 展示 服务 器 中 的 资源 外 ， 还 可 
以 将 资源 以 “虚拟 目录 ”的 方式 ， 添 加 到 网 站 并 对 外 发 布 。 虚 拟 目录 依赖 于 网 站 ， 像 一 个 网 站 中 的 
一 个 文件 夹 一 样 。 接 下 来 的 操作 中 ， 将 把 E 盘 根 目录 作为 一 个 虚拟 目录 添加 到 网 站 ， 并 为 此 虚拟 
目录 启用 目录 浏览 功能 ， 步 骤 如 下 。 


0 和 用 鼠标 右 击 要 添加 虚拟 目录 的 网 站 ， 在 弹出 的 快捷 菜单 中 选择 “添加 虚拟 目录 ” (如 图 
5-37 所 示 ) ， 在 弹出 的 “添加 虚拟 目录 ”对 话 框 中 ， 在 “别名 ”文本 框 中 ， 输 入 要 添加 的 虚拟 目 
录 的 名 称 ， 在 “物理 路 径 ” 中 浏览 选择 要 添加 的 文件 夹 ， 如 图 5-38 所 示 ， 然 后 单 击 “ 确 定 ”按钮 ， 
完成 添加 。 

tog 在 添加 完 虚拟 目录 之 后 ， 如 果 要 浏览 、 查 看 添加 的 虚拟 目录 ， 可 以 定位 到 虚拟 目录 ， 在 
图 5-37 右 侧 的 “操作 ”列表 中 ， 单 击 “ 浏 览 www-.abc.com on *:8013” 链 接 ， 浏 览 查看 虚拟 目录 。 
或 者 直接 输入 “http:// 虚 拟 目录 所 属 网 站 /虚拟 目录 名 称 ” 的 格式 ， 查 看 虚拟 目录 。 如 果 添 加 的 虚拟 
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目录 没有 “默认 文档 ”， 或 者 没有 启用 “目录 浏览 ”时 ， 会 出 现 图 5-39 的 错误 。 


目 - 间 - -TO - 记 IRm- 
RS 3 C a| 
应 用 程序 “WEB10-ABC.COM-8013” 中 的 服务 器 错误 


HTTP 错误 403.14 - Forbidden 
Web 服务 器 被 配 吾 为 不 列 出 此 目录 的 内 容 。 


I 
图 5-38 添加 虚拟 目录 图 5-39 无 默认 文档 并 且 没 有 启用 目录 浏览 


io 旨 如 果 启 用 目录 浏览 ， 或 者 添加 默认 文档 ， 将 会 显示 目录 的 内 容 或 者 显示 默认 文档 。 在 
“Intemet 信息 服务 (IIS ) 管理 器 ”中 ， 定 位 到 虚拟 目录 ， 在 中 间 的 窗 格 中 ， 双 击 “ 目 录 浏 览 ”图 
标 ， 如 图 5-40 所 示 。 
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图 5-40 目录 浏览 
io 绚 在 右 侧 的 “警报 ” 窗 格 中 ， 单 击 “ 启 用 ”链接 ， 启 用 目录 浏览 ， 如 图 5-41 所 示 
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ee ee 


5-41 启用 目录 浏览 
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95 在 启用 目录 浏览 之 后 ， 再 次 浏览 查看 虚拟 目录 ， 将 会 显示 目录 的 内 容 ， 如 图 5-42 所 示 。 
此 时 ， 单 击 该 目录 中 的 某 个 浏览 将 会 进入 下 级 目录 。 如果 该 目录 中 有 默认 文档 ,将 会 显示 默认 文 
档 内 容 ; 如 果 没 有 默认 文档 ， 将 会 以 列 目录 的 方式 显示 该 子 目录 的 内 容 。 

t@Q8j 切换 到 图 5-40， 双 击 “ 默 认 文档 ”图 标 ， 可 以 显示 默认 文档 的 名 称 及 默认 显示 顺序 ， 如 
图 5-43 所 示 。 用 户 可 以 选中 一 个 默认 文档 之 后 ， 在 右 侧 的 “操作 ” 窗 格 中 ， 上 移 、 下 移 文档 的 顺 


守信 和 必 


www.abc.com - /e/ 


图 5-42 启用 目录 浏览 功能 图 5-43 ”默认 文档 
0 在 图 5-43 中 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 对 话 框 中 ， 可 以 添加 新 的 默认 文档 ， 例 如 
abcd.htm， 如 图 5-44 所 示 。 
to8j 然后 打开 “资源 管理 器 ”, 在 下 盘 根 目录 创 建 名 为 abcd.htm、 内 容 为 e:\ abcd.htm 的 文件 ， 
重新 在 浏览 器 中 ， 浏 览 查看 该 虚拟 目录 ， 可 以 看 到 abcd.htm 的 内 容 ， 如 图 5-45 所 示 。 
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rel0-ahc em-tnlfe” yeh coogte Ea [| 阿 Taeret | Rt 请 [5% 
图 5-44 ”添加 名 为 abcd.htm 的 默认 文档 图 5-45 显示 默认 文档 内 容 


5.4.3 ”MIME 类 型 


MIME 是 “多 用 途 Internet 邮件 扩展 ”的 简称 , 使 用 “MIME 类 型 ”功能 页 ， 可 以 管理 MIME 
类 型 列表 ， 以 便 能 够 识别 可 从 Web 服务 器 向 浏览 器 或 邮件 客户 端 提供 的 内 容 的 类 型 。 


0 在 “Intemet 信 息 服务 (IIS ) 管理 器 ”中 ， 在 左 侧 窗 格 中 ， 定 位 到 “计算 机 名 ”， 双 击 中 
间 的 “MIME 类 型 ”图 标 ， 如 图 5-46 所 示 。 
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图 5-46 MIME 类 型 


io3 在 “MIME 类 型 ”列表 中 ， 显 示 了 IIS 默认 支持 的 MIME 类 型 ， 对 于 不 在 该 列表 中 的 类 
型 ， 例 如 扩展 名 为 ISO 的 文件 ， 当 在 浏览 这 些 文件 (例如 提供 下 载 的 网 站 ) 时 ， 会 出 现 错误 。 如 
果 要 让 网 站 能 下 载 ISO 的 文件 (或 其 他 不 支持 的 MIME 类 型 文件 ) ， 用 户 可 以 在 “MIME 类 型 
列表 中 ， 双 击 并 打开 一 个 现 有 的 MIME 类 型 例如 .bin 的 MIME 类 型 字符 串 并 复制 “MIME 类 型 > 
文本 框 中 的 内 容 ( 如 图 5-47 所 示 ) ， 然 后 单 击 “ 添 加 ”按钮 ， 添 加 名 为 .iso 的 类 型 并 “粘贴 ”复制 
的 MIME 类 型 字符 串 ， 完 成 添加 ， 如 图 5-48 所 示 。 


文人 要 名 名) 


下 i Li 
了 rn | | RE 
图 5-47 查看 并 复制 现 有 MIME 类 型 图 5-48 ”添加 名 为 .iso 的 MIME 类 型 


5.4.4 ”HTTP 重 定向 


使 用 “HTTP 重 定 向 ”功能 页 可 以 启用 重 定向 并 配置 将 传 入 的 请 求 重 定向 到 新 目标 的 方式 。 例 
如 ， 在 前 面 的 小 节 中 ， 我 们 创建 并 添加 了 10 个 网 站 ， 如 果 想 将 用 户 对 http:/192.168.1.12 〈 即 web3 
网 站 ) 的 访问 转向 到 http:/www.abc.com:8013/e， 可 以 按照 如 下 的 步骤 进行 操作 。 


0 和 打开 “Internet 信息 服务 (IIS ) 管理 器 ”， 在 左 侧 定位 到 web3 网 站 ， 在 中 间 双 击 “HTTP 
重 定向 ”， 如 图 5-49 所 示 。 
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图 5-49 HTTP 重 定向 


oz 在 “HTTP 重 定向 ”选项 中 ， 选 中 “将 请 求 重 定向 到 此 目标 ” 复 选 框 ， 然 后 输入 转向 到 
的 网 站 与 目录 ， 在 本 例 中 为 http://www.abc.com:8013/e， 然 后 单 击 “ 应 用 ”按钮 ， 如 图 5-50 所 示 。 


; TREE 


【* 3 


| Dm al 权 的 0 


[ 国 ] 


| J Cee NE 
re we waie 二 


图 5-50 ”指定 重 定向 网 站 
以 后 ， 当 用 户 访问 http://192.168.1.12 的 时 候 ， 会 被 重 定向 到 http:/www.abc.com:8013/e。 


EE 
在 使 用 HTTP 重 定向 的 时 候 ， 重 定向 的 目标 可 以 是 其 他 服务 器 上 的 其 他 网 站 ， 不 一 定 是 当前 服务 器 
上 存在 的 网 站 。 


5.4.5 ”IPv4 地 址 和 域 限制 


在 网 站 中 ， 可 以 通过 “IPv4 地 址 和 域 限制 ”功能 页 ， 允 许 或 拒绝 某 些 人 P 地 址 浏览 访问 指定 的 
网 站 ， 下 面 以 禁止 192.168.1.0/24 的 他 地 址 访问 web3 为 例 ， 介 绍 操作 步骤 。 


0 和 打开 “Internet 信息 服务 (IIS ) 管理 器 ”， 在 左 侧 定位 到 web3 网 站 ， 在 中 间 双 击 “IPv4 
地 址 和 域 限 制 ” 图 标 ， 如 图 5-51 所 示 。 
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图 5-51 IPv4 地 址 和 域 限 制 


iD 到 在 “IPv4 地 址 和 域 限制 ”窗口 中 ， 在 右 侧 的 “操作 ”列表 中 ， 单 击 “ 添 加 拒绝 条 目 ”， 
选项 ， 在 弹出 的 “添加 拒绝 限制 规则 ”对 话 框 中 ， 单 击 “IPv4 地 址 范围 ” 单 选 按钮 ， 输 入 拒绝 的 
地 址 范围 和 掩 码 ， 如 图 5-52 所 示 。 然 后 单 击 “ 确 定 ”按钮 。 
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图 5-52 添加 拒绝 限制 规则 
在 图 5-52 右 侧 的 “操作 ” 窗 格 中 ， 还 可 以 添加 允许 条 目 、 编 辑 功能 设置 、 删 除 添加 的 条 目 等 。 


i03j 添加 之 后 ，192.168.1.0\24 的 IP 地 址 在 浏览 器 中 浏览 web3 (http:/192.168.1.12 ) 时 会 出 
现 错误 提示 ， 如 图 5-53 所 示 。 


您 在 浏览 时 使 用 的 TP 地 址 不 允许 访问 所 请 求 的 网 站 - 


1 时 j| 
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5-53 ”错误 403.6 
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5.4.6 ”为 网 站 设置 不 同 的 访问 方法 


无 论 是 使 用 人 P 地 址 法 创建 的 网 站 ， 还 是 使 用 端口 法 和 主机 头 法 创建 的 网 站 ， 这 几 个 网 站 都 是 
可 以 “互相 转化 ”的 ， 也 可 以 向 一 个 网 站 添加 多 个 不 同 的 访问 方法 。 


0 打开 “Intermet 信息 服务 (IIS ) 管理 器 ” ， 在 左 侧 窗 格 中 定位 到 webl 网 站 ， 在 右 侧 “ 操 
作 ” 列 表 中 单 击 “ 绑 定 ” 选 项 ， 在 弹出 的 “网 站 绑 定 ”对 话 框 中 ， 添 加 、 删 除 或 编辑 (修改 ) 访问 
方式 。 例 如 ， 可 以 添加 端口 为 8888、 主 机 名 为 www.abc.com 的 访问 方式 ， 如 图 5-54 所 示 。 


还 可 以 添加 多 个 、 其 他 不 同 的 访问 方式 ， 这 里 不 一 一 介绍 。 
03 打开 正 浏 览 器 ,浏览 http://www.abc.com:8888， 可 以 看 到 webl 的 内 容 ， 如 图 5-55 所 示 。 
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5-54 ”添加 新 的 访问 方式 图 5-55 用 新 的 访问 方式 访问 webl 


5.5 配置 FTP 服务 器 


FTP 是 File Transfer Protocol( 文 件 传输 协议 ) 的 简称 , 用 于 Intemet 上 的 控制 文件 的 双向 传输 。 
同时 ， 它 也 是 一 个 应 用 程序 (Application) 。 用 户 可 以 通过 它 把 自己 的 计算 机 与 世界 各 地 所 有 运行 
FTP 协议 的 服务 器 相连 , 访问 服务 器 上 的 大 量程 序 和 信息 。FTP 的 主要 作用 ， 就 是 让 用 户 连 接 上 一 
个 远程 计算 机 这些 计算 机 上 运行 着 FTP 服务 器 程序 ) 察看 远程 计算 机 有 哪些 文件 ， 然 后 把 文件 
从 远程 计算 机 上 拷 到 本 地 计算 机 ， 或 把 本 地 计算 机 的 文件 送 到 远程 计算 机 去 。 无 论 是 Linux、 还 是 
Windows， 都 支持 FTP 服务 。 在 本 节 介 绍 Windows Server 2008、Windows Server 2008 R2 中 ,FTP 
服务 器 的 安装 与 配置 。 


Windows Server 2008 的 FTP 服务 器 与 Windows Server 2003 的 FTP 服务 器 相似 。 而 在 Windows Server 


2008 R2 中 ， 重 新 改写 了 FTP 服务 器 的 代码 ， 与 Windows Server 2008 的 FTP 服务 器 有 很 大 的 不 同 。 


5.5.1 FTP 服务 器 概述 
FTP 服务 器 用 于 上 传 、 下 载 文件 及 文件 夹 ， 是 Intemet 的 3 大 基本 服务 (Web、FTP、E-mail) 
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之 一 ， 在 实际 工作 中 有 着 比较 重要 的 作用 。 

FTP 的 主要 作用 ,就 是 让 用 户 连 接 上 一 个 远程 计算 机 (这 些 计 算 机 上 运行 着 FTP 服务 器 程序 》 
察看 远程 计算 机 有 哪些 文件 , 然后 把 文件 从 远程 计算 机 上 复制 到 本 地 计算 机 , 或 把 本 地 计算 机 的 文 
件 传 送 到 远程 计算 机 上 去 。 

FTP 服务 器 的 工作 原理 如 下 : 

以 下 传 文件 为 例 ， 当 用 户 启动 FTP 从 远程 计算 机 下 载 文件 时 ， 启 动 了 两 个 程序 ， 一 个 是 本 机 
上 的 FTP 客户 程序 ， 它 向 FTP 服务 器 提出 复制 文件 的 请 求 。 另 一 个 是 远程 计算 机 上 的 FTP 服务 器 
程序 ， 它 响应 客户 端的 请 求 并 把 客户 端 指定 的 文件 发 送 到 客户 端 计算 机 中 。 

在 上 传 文件 时 ， 远 程 计 算 机 的 FTP 服务 器 接收 客户 端 上 传 的 程序 。 

FTP 的 连接 模式 有 : 主动 模式 (PORT) 、 被 动 模式 (PASV) 。 在 互联 网 的 所 有 服务 中 ，FTP 
服务 器 的 连接 模式 是 比较 复杂 的 。 


1. 主动 模式 (PORT) 


在 FTP 服务 器 的 “主动 模式 (PORT) ”中 ，FTP 客户 端 首先 和 FTP 服务 器 的 TCP 21 端口 建 
立 连接 ， 通 过 这 个 通道 发 送 命令 ， 即 客户 端 需要 接收 数据 的 时 候 在 这 个 通道 上 发 送 PORT 命令 。 
PORT 命令 包含 了 客户 端 用 什么 端口 接收 数据 。 在 传送 数据 的 时 候 ， 服 务 器 端 通过 自己 的 TCP 20 
端口 连接 至 客户 端的 指定 端口 发 送 数据 。 FTP server 必须 和 客户 端 建立 一 个 新 的 连接 用 来 传送 数 
据 ， 如 图 5-56 所 示 。 


四 客户 端 连接 服务 器 的 TCP: 21 端 口 
SS 客户 端 向 服务 器 的 TCP， 21 发 送 PORT 命 令 。 。 


-一 服务 器 的 TCP20: 连接 客户 端 PORT 包含 的 端口 
FTP 客户 端 FTP 服 务 器 


客户 端 客户 端 防火 墙 服务 器 端 防火 墙 FTP 服 务 器 
5-56 FTP 服务 器 的 PORT 模式 


2. 被 动 模式 (PASV) 

PASYV 模式 在 建立 控制 通道 的 时 候 和 PORT 模式 类 似 ， 但 建立 连接 后 发 送 的 不 是 PORT 命令 ， 
而 是 PASV 命令 。FTP 服务 器 收 到 PASYV 命令 后 ， 随 机 打开 一 个 高 端 端口 (端口 号 大 于 1024) 并 
且 通 知客 户 端 在 这 个 端口 上 传送 数据 的 请 求 ， 客 户 端 连接 FTP 服务 器 此 端口 ， 然 后 FTP 服务 器 将 
通过 这 个 端口 进行 数据 的 传送 ， 这 个 时 候 FTP server 不 再 需要 建立 一 个 新 的 和 客户 端 之 间 的 连接 ， 
如 图 5-57 所 示 。 
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客户 端 连接 服务 器 的 TCP: 21 端 口 
心 客户 端 向 服务 器 的 TOP。 21 发 送 PASV 命 令 
NS 服务 器 返回 一 个 随机 的 高 端口 号 给 客户 器 一 


客户 端 连接 FITP 服 务 器 返回 的 高 端 端口 号 传送 数据 一 ~ 


FTP 客 户 端 FTP 服 务 器 


客户 端 客户 端 防火 墙 服务 器 端 防火 墙 FTP 服 务 器 
5-57 FTP 服务 器 的 PASV 模式 


很 多 防火 墙 在 设置 的 时 候 都 是 不 允许 接受 外 部 发 起 的 连接 的 ， 所 以 许多 位 于 防火 墙 后 或 内 网 
的 FTP 服务 器 不 支持 PASV 模式 ， 因 为 客户 端 无 法 穿 过 防火 墙 打 开 FTP 服务 器 的 高 端 端口 ， 而 许 
多 内 网 的 客户 端 不 能 用 PORT 模式 登陆 FTP 服务 器 , 因为 从 服务 器 的 TCP 20 端口 无 法 和 内 部 网 络 
的 客户 端 建立 一 个 新 的 连接 ， 造 成 无 法 工作 。 


关于 如 何 配置 防火 墙 后 的 FTP 服务 器 .让 FTP 服务 器 可 以 为 Internet 的 FTP 客户 端 提供 正常 的 服务 ， 
这 些 设置 涉及 到 防火 墙 的 内 容 ， 将 在 本 书后 面 的 章节 介绍 。 


5.5.2 ”配置 不 隔离 用 户 的 FTP 服务 器 


在 “5.2 安装 Web 服务 器 ”一 节 的 时 候 , 已 经 介绍 了 安装 Web 服务 器 的 方法 。 本 节 将 介绍 FTP 
服务 器 的 配置 方法 与 步骤 。 
在 Windows Server 2008 中 ，FTP 服务 器 支持 “用 户 隔离 ”功能 。FTP 用 户 隔离 为 Internet 服 
务 提供 商 (ISP) 和 应 用 服务 提供 商 (ASP) 提 供 了 解决 方案 , 使 他 们 可 以 为 客户 提供 上 载 文件 和 Web 
内 容 的 个 人 FTP 目录 。FTP 用 户 隔 离 通过 将 用 户 限制 在 自己 的 目录 中 , 来 防止 用 户 查看 或 覆盖 其 
他 用 户 的 Web 内 容 。 因 为 顶层 目录 就 是 FTP 服务 器 的 根 目 录 ， 用 户 无 法 浏览 目录 树 的 上 一 层 。 
在 特定 的 站 点 内 ， 用 户 能 创建 、 修 改 或 删除 文件 和 文件 夹 。 
FTP 用 户 隔离 是 站 点 属性 ， 而 不 是 服务 器 属性 。 可 以 为 每 个 FTP 站 点 启动 或 关闭 该 属性 。 
FTP 用 户 隔离 支持 下 面 三 种 隔离 模式 ， 其 中 每 种 模式 启用 不 同 级 别 的 隔离 和 身份 验证 。 
日 “不 隔离 用 户 : 此 模式 不 启用 FTP 用 户 隔离 。 该 模式 的 工作 方式 与 以 前 版 本 的 IIS 类 似 。 
@ 隔离 用 户 : 此 模式 在 用 户 可 以 访问 与 其 用 户 名 匹配 的 主 目录 前 ,根据 本 机 或 域 账户 对 用 户 
进行 身份 验证 。 
e@ 用 Active Directory 隔离 用 户 : 此 模式 根据 相应 的 Active Directory 容器 验证 用 户 凭据 ， 
而 不 是 搜索 整个 Active Directory， 因 为 这 样 做 需要 大 量 的 处 理 时 间 。 


在 安装 FTP 服务 器 的 时 候 ， 默 认 情 况 下 ， 安 装 的 FTP 服务 器 是 以 “不 隔离 用 户 ” 的 方式 启动 
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的 。 在 Windows Server 2008 中 ， 配 置 FTP 服务 器 的 步骤 如 下 。 
ti 出 从 “开始 -管理 工具 ”中 运行 “Internet 信息 服务 (IIS ) 6.0 管理 器 ”命令 ,打开 “Internet 


5-58 ”FTP 服务 器 


Windows Server 2008 中 的 FTP 服务 器 ,采用 的 是 IS 6.0 版 本 ,所 以 只 能 通过 “Internet 信息 服务 ( IS ) 
6.0 管理 器 ”管理 。 而 Windows Server 2008 R2 中 的 FTP 服务 器 ， 则 是 IIS 7.5 版 本 ， 需 要 使 用 “Internet 
信息 服务 ( IIS ) 管理 器 ”管理 。 


t@Q3 在 默认 情况 下 , FTP 服务 器 并 没有 启动 , 用 户 可 以 在 右 侧 窗 格 中 选中 “Default FTP Site”， 
单 击 工具 栏 上 的 “天 ”按钮 ， 启 动 FTP 服务 器 。 当 FTP 服务 器 启动 后 ， 可 以 单 击 “ 男 ”按钮 停止 
FTP 服务 器 ， 或 者 单 击 “ 山 ”按钮 ， 暂 时 停止 FTP 服务 器 的 运行 。 在 第 一 次 启动 FTP 服务 器 的 时 
候 ， 会 弹出 “不 能 更 改 此 站 点 状态 ”的 提示 框 ， 单 击 “ 是 ”按钮 启动 此 服务 和 此 站 点 即 可 ， 如 
图 5-59 所 示 。 

03) 用 鼠标 右 击 默认 的 FTP 站 点 ， 在 弹出 的 快捷 菜单 中 ， 可 以 看 到 常用 的 FTP 操作 命令 ， 例 
如 “启动 ” 、“ 停 止 ”、“ 暂 停 ”、“ 新 建 (FTP 站 点 、 虚 拟 目 录 ) ”、“ 删 除 (删除 FTP 服务 
器 ) ”、“ 重 命名 ”、“ 属 性 ”等 命令 ， 如 图 5-60 所 示 。 


0 Mr) Em EN Mb aia 


@ FE eens ramen 


“是” 局 :ht 和 相生。 


图 5-59 ”启动 FTP 服务 器 和 站 点 5-60 ”右键 菜单 命令 


上 述 FTP 的 常用 操作 命令 比较 简单 , 大 家 可 以 通过 命令 的 名 称 知 道 相 应 的 功能 , 例如 “停止 ” 
是 停止 FTP 服务 器 的 命令 。“ 新 建 一 虚拟 目录 ”， 则 是 在 当前 FTP 服务 器 中 创建 “虚拟 目录 ”， 这 与 
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Web 服务 器 的 虚拟 目录 的 功能 相同 。 


0 弛 在 图 5-60 中 , 选择 “属性 ”选项 , 打开 默认 FTP 站 点 的 属性 对 话 框 ,首先 看 到 的 是 “FTP 
站 点 ”选项 卡 ， 在 该 选项 卡 中 ， 可 以 修改 FTP 站 点 的 描述 信息 、FTP 服务 器 绑 定 的 人 P 地 址 、FTP 
服务 器 的 服务 端口 (TCP 默认 为 21 ) ， 以 及 FTP 站 点 的 连接 设置 、 连 接 超 时 等 ， 如 图 5-61 所 示 。 
管理 员 可 以 根据 需要 或 自己 的 爱好 ， 设 置 或 修改 该 FTP 站 点 的 信息 。 单 击 “ 当 前 会 话 ”按钮 ， 会 
显示 当前 连接 到 FTP 服务 器 的 客户 端的 信息 。 

05 在 “安全 账户 ”选项 卡 中 ， 设置“ 匿名 连接 ”的 消息 ， 默 认 情 况 下 是 “允许 匿名 连接 ”， 
如 图 5-62 所 示 。 


Defonlt TT? site 医 性 EI 


Tr 站 上 安全 全 户 | 消 息 | 主 月 好 | 月 录 夫 全 性 | 
放生 拉 DO) 
列 医 和 合用 下 列 Wind 同 忆 了 E 户 ; 


站 
法拉 8 为; [E27 


河 汉 昌吉 克 式 


当 届 会 衣 中 
5-61 FTIP 站 点 选项 卡 5-62 ”安全 账户 


不 要 更 改 匿名 连接 的 用 户 名 ， 通 常情 况 下 ，IS 中 的 匿名 账户 是 IUSR+ ( 下 划 线 ) + ( 服务 器 计算 机 
名 称 ), 如 果 在 安装 Web 服务 器 之 后 , 更 改 了 计算 机 名 称 , Internet 匿名 账户 将 会 使 用 原来 的 计算 机 名 称 。 
如 果 选 中 “只 允许 匿名 连接 ”， 则 只 能 是 匿名 连接 ， 不 允许 使 用 其 他 账户 登录 。 


t08j 在 “消息 ”选项 卡 中 可 以 创建 在 用 户 连接 到 FTP 站 点 时 显示 的 横幅 、 欢 迎 和 退出 消息 。 


在 “横幅 ”文本 框 中 ， 可 以 输入 标题 消息 。 在 客户 端 连 接 到 FTP 服务 器 之 前 ， 该 服务 器 将 显 
示 此 消息 。 默 认 情 况 下 消息 为 空 。 在 “欢迎 ”文本 框 中 输入 欢迎 消息 。 在 客户 端 连 接 到 FTP 服务 
器 时 ， 该 服务 器 将 显示 此 消息 。 默 认 情 况 下 消息 为 空 在 mp 
“退出 ”文本 框 中 输入 退出 消息 。 在 客户 端 注销 FTP 服 mma aw me jaanl nee 
务 器 时 ， 该 服务 器 将 显示 此 消息 。 默 认 情况 下 消息 为 空 。 

在 “最 大 连接 数 ”文本 框 中 输入 最 大 连接 数 消息 。 在 
客户 端 试图 连接 到 FTP 服务 器 但 由 于 FTP 服务 已 达到 | eo 
允许 的 最 大 客户 端 连接 数 而 失败 时 ,该 服务 器 显示 此 消息 。 
默认 情况 下 消息 为 空 。 [人 

管理 员 可 以 根据 需要 , 对 此 进行 设置 , 如 图 5-63 所 示 。 | we 


bE 
司 站 经 锋 大 学 入 入 车 相 学 院 详 中 中 心 FTP 有 务 器 


0 在 “ 主 目录 ”选项 卡 中 可 以 更 改 FTP 站 点 的 主 
目录 或 修改 其 属性 。 主 目录 是 FTP 站 点 中 用 于 已 发 布 文 


EE 应 用 级 Ei 
图 5-63 消息 
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件 的 中 心 位 置 。 在 安装 FIP 服务 时 ， 系 统 已 创建 默认 主 目录 ， 并 将 其 存储 在 
%systemdrive%\inetpub\ftproot 中 。 


用 户 可 以 将 主 目录 的 位 置 更 改 为 下 列 任 意 一 个 : 

选中 “此 计算 机 上 的 目录 ”时 , 可 以 允许 用 户 访问 此 计算 机 上 的 指定 目录 , 以 便 查看 或 更 新 FTP 
内 容 。 用 户 可 以 执行 任何 Windows 安全 方法 来 控制 对 内 容 的 访问 。 在 “本 地 路 径 ” 文 本 框 中 ， 输 
入 目录 或 目标 URL 的 路 径 ， 语 法 必须 与 当前 所 选 的 路 径 类 型 相 匹配 。 对 于 本 地 目录 ， 须 使 用 完整 
路 径 ， 例 如 Ci\inetpubiftproot， 如 图 5-64 所 示 。 对 于 网 络 共享 ， 须 使 用 通用 命名 约定 CUNC) 服 
务 器 和 共享 名 ， 例 如 \\Webserver\htmlfiles。 

如 果 选 中 “ 另 一 台 计算 机 上 的 目录 ”时 ， 可 以 允许 用 户 查看 或 更 新 与 该 计算 机 有 活动 连接 的 
其 他 计算 机 上 的 FTP 内 容 。 如 果 用 户 具 有 远程 计算 机 上 的 管理 凭据 ， 那 么 可 以 通过 执行 任何 
Windows 安全 方法 来 控制 对 其 内 容 的 访问 。 用户 可 以 在 “网 络 共享 ” 框 中 输入 服务 器 名 和 目录 名 ， 
如 图 5-65 所 示 。 单 击 “连接 为 ”按钮 可 以 输入 或 更 改 网 络 用 户 名 和 密码 信息 。 


IF 站 点 | 安全 帐户 | 消息 。 主 电 杂 | 目录 安全 性 | 
的 内 容 示 二 


个 另 一 犁 计算 机 上 的 加 录 红 ) 


TP 站 点 目录 
本 好 只 乱 0): | smetratvetproot ao | | 
PER 


T 5A 
订 记录 访问 0 


日 邓 列 表 样 式 
Fm R00 
ns RS) 


CR wm 应 用 ON) 于 助 
5-64 此 计算 机 上 的 目录 图 5-65 另 一 台 计 算 机 上 的 目录 


在 选中 “ 读 取 ” 复 选 框 时 ， 该 选项 可 以 允许 用 户 读 取 或 下 载 存 储 在 主 目录 或 虚拟 目录 中 的 文 
件 。 在 选中 “ 写 入 ” 复 选 框 时 ， 该 选项 可 以 允许 用 户 向 服务 器 中 已 启用 的 目录 上 载 文件 。 应 该 仅 
对 要 接收 用 户 文件 的 目录 启用 写 入 权限 。 在 选中 “记录 访问 ” 复 选 框 时 ， 此 选项 可 以 将 对 该 目录 
的 访问 记录 到 日 志文 件 中 。 只 有 为 该 FTP 站 点 启用 了 日 志 记录 时 才 记 录 访 问 。 默 认 情况 下 启 
日 志 记录 。 
在 “目录 列表 样式 ”选项 组 中 ， 设 置 允 许 用 户 在 MS-DOS 和 UNIX 样式 目录 列表 之 间 进 行 
选择 。 在 选择 “UNIX” 时 ， 可 以 在 文件 的 日 期 与 FTP 服务 器 的 年 份 不 同时 使 用 四 位 数字 格式 显 
示 年 份 。 如 果 文 件 日 期 与 FTP 服务 器 的 年 份 相同 ， 则 不 返回 年 份 。 在 选择 “MS-DOS” 时 ， 可 以 
在 默认 情况 下 用 两 位 数字 格式 显示 日 期 中 的 年 份 。 


to8j 在 “目录 安全 性 ”选项 卡 中 ， 可 允许 或 阻止 单个 计算 机 或 计算 机 组 访问 FTP 站点。 这 
与 在 Web 服务 器 中 ， 人 允许 或 拒绝 指定 的 瑟 地 址 访问 Web 服务 器 是 相同 的 功能 ， 如 图 5-66 所 示 。 


单 击 “ 授 权 访问 ” 单 选 按钮 ， 可 将 访问 权限 授予 所 有 计算 机 ， 这 也 是 默认 的 设置 。 如 果 要 添加 
拒绝 访问 的 计算 机 、 计 算 机 组 或 域 ， 须 单 击 “ 添 加 ”按钮 ， 然 后 在 “拒绝 访问 ”对 话 框 中 输入 所 需 


第 1 篇 ”基础 服务 配置 管理 与 应 用 


的 信息 。 被 拒绝 访问 的 计算 机 将 出 现在 “下 列 除 外 ”列表 框 中 。 


FT 站 点 | 二 由 户 | 消息 ”| 主 目录 目录 安全 性 | 


TCPAIP 地 址 访问 限制 
黑 认 情况 下 ， 所 有 计算机 都 将 被 :。 :7 授权 访 间 名) 
下 列 除外 : 驳 ~ 措 访 问 串 
[本 也 地 二 于 网 搞 码 ) ] 
Eb | 
zd) 
ED 


LN 取消 应 用 以) 帮助 
图 5-66 目录 安全 性 


如 果 单 击 “ 拒 绝 访问 ” 单 选 按钮 ， 可 以 拒绝 所 有 计算 机 的 访问 权限 。 要 添加 允许 访问 的 计算 
机 、 计 算 机 组 或 域 ， 须 单 击 “ 添 加 ”按钮 ， 然 后 在 “授权 访问 ”对 话 框 中 输入 所 需 的 信息 。 授 权 访 
问 的 计算 机 出 现在 “下 列 除外 ”列表 框 中 。 
户 可 以 根据 需求 配置 FTP 服务 器 ， 设 置 完成 之 后 ， 单 击 “ 确 定 ” 按 钮 。 


5.5.3 配置 隔离 用 户 的 FTP 服务 器 
创建 隔离 用 户 的 FTP 服务 器 ， 在 创建 每 个 用 户 的 FTP 站 点 目录 时 ， 请 遵循 以 下 惯例 : 


e@ 如 果 人 允许 匿名 访问 ， 则 在 FTP 站 点 主 目 录 下 创建 LocalUser 和 LocalUser\Public 子 目 
e@ 如果 本 地 计算 机 用 户 使 用 他 们 各 自 的 账户 用 户 名 登录 ( 而 不 是 作为 匿名 用 户 ) ， 则 在 FTP 
站 点 主 目录 下 为 每 个 允许 连接 到 该 FTP 站 点 的 用 户 创建 LocalUser 子 目 录 以 及 一 个 单 
独 的 LocalUser\UserName 目录 。 
e@ 如果 不同 域 的 用 户 使 用 显 式 Domain\UserName 凭据 登录 ， 则 在 该 FTP 站 点 根 目 录 下 为 
每 个 域 都 创建 一 个 子 目录 (使 用 域名 ) 。 在 每 个 域 目录 下 ， 为 每 个 用 户 创建 一 个 目录 。 例 
如 ， 要 支持 用 户 ContosoWserl 访问 ， 请 创建 Contoso 和 Contosowserl 目录 。 
下 面 ， 我 们 通过 具体 的 实例 ， 介 绍 创建 隔离 用 户 FTP 服务 器 的 方法 与 步骤 ， 实 现 如 下 的 功能 : 
创建 FTP 服务 器 , 在 “计算 机 管理 一 系统 工具 一 本 地 用 户 和 组 ”中 创建 两 个 用 户 ws01、ws02， 
当 FTP 客户 端 以 用 户 ws01 登录 时 ， 可 以 浏览 、 读 写 E:\web1l 文件 夹 的 权限 ; 当 FTP 客户 端 以 用 户 
ws02 登录 时 ， 具 有 读 写 E:\web2 文件 夹 的 权限 。 
0 和 在 “本 地 用 户 和 组 一 用 户 ” 中 ， 创 建 两 个 账户 ， 分 别 为 ws01、ws02， 如 图 5-67 所 示 。 
02 在 EE 盘 根 目录 创建 fp-root 文件 夹 ， 在 ftp-root 中 创建 LocalUser 文件 夹 ， 在 LocalUser 


中 创建 Public、ws01、ws02 文件 夹 ， 分 别 在 ws01、ws02 中 创建 同名 文本 文件 ， 例 如 在 ws02 中 创 
建 名 为 ws02.txt 的 文件 ， 如 图 5-68 所 示 。 这 样 ， 当 用 户 测 试 的 时 候 ， 将 很 容易 分 辨 出 当前 所 在 的 


Internet 信息 服务 器 管理 与 应 用 ”第 5 章 


目录 。 


[本 = 
i MR EM IEM NW 


ET TT 


图 5-67 创建 两 个 用 户 


me lL 而 和 到 
5-68 ”创建 文件 夹 并 创建 同名 文本 文件 
io3j 在 E:\web1、E:\web2 文件 夹 创建 同名 文本 文件 ， 然 后 修改 webl 的 NTFS 权限 ， 只 允许 


Administrator、ws01 具有 “完全 控制 ”权限 ， 允 许 Everyone 有 “ 读 取 权 限 ”， 如 图 5-69 所 示 。 


这 机 | 共享 。 去 全 | 以 肌 区 类 本 | 全 定义 | 
本 户 和 


Tn] 
Adninistrators SUEZ Wdnini strotors) 


| cc 1234 的 可 -mm_ | -am 


Ce |]_ un | sw | 
图 5-69 ”修改 E:vwebl 的 NTFS 权限 


同样 ， 对 于 web2， 也 要 修改 它 的 NTFS 权限 ， 只 允许 Administrator、ws02 具有 “完全 控制 ” 
权限 ， 人 允许 Everyone 有 “ 读 取 权 限 ”。 


I04 然后 返回 到 “Internet 信息 服务 (IIS ) 6.0 管理 器 ”， 删 除 “Default FTP Site” 站 点 ， 然 
后 用 鼠标 右 击 “FTP 站 点 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 ~FTP 站 点 ”选项 ， 如 图 5-70 所 示 。 


] MN EEm SOM Wo 
EeleEyl EI 


| 


Em EE Ts I 
sonnel 


5-70 新 建 ETP 站 点 
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四 5) 在 “FTP 站 点 描述 ”对 话 框 中 , 输入 当前 新 建 FIP 站 点 的 描述 信息 , 例如 FIP， 如 图 5-71 所 示 。 
to8j 在 “人 P 地 址 和 端口 设置 ”对 话 框 ， 保 持 默 认 值 ， 如 图 5-72 所 示 。 也 可 以 根据 需要 ， 选 择 


FTP 服务 器 绑 定 的 IP 地 址 及 服务 端口 。 


rrr 熙 点 创建 向 号 四 
了 地 址 和 党 口 讼 置 


为 FTF 站 点 指定 芽 地 址 和 误 口 设置， 


输入 此 FTF 站 点 使 用 的 工 地 直 


输入 此 FTP 站 点 的 TCF 谈 口 八 认 = 21 


Pe 


sm | 


— mW | 


图 5-71 FTP 站 点 描述 


4 在 
08) 在 “FTP 站 点 主 目录 ”对 话 框 中 ， 
E:\ftp-root， 如 图 5-74 所 示 。 

FT? 站 点 所 建 向 导 

FTT 用 户 隔 郊 
将 PrP 用 户 归 制 硬 他 们 自己 的 PrP 主 目录 
了 TF 用 户 旨 可 耳 止 用 户 访问 比 FT? 站 点 上 其 人 用户 9 FIP 王 目 某 > 
ee 
nm HT? 主 目 录 。 )】 
六 用 Aative Dirsst 户 愉 ) 

A 


elive Tirestory 用 户 帐 户 确认 的 FTT 主 请 


5-72 卫 地址 和 端口 设置 


“FTP 用户 隔 离 ” 对 话 框 中 ， 单 击 “ 隔 离 用 户 ” 单 选 按 钮 ， 如 图 5-73 所 示 。 


选择 新 建 FTP 服务 器 的 根 目录 ， 在 本 例 中 ， 该 目录 为 


rrr 站 点 创建 向 号 
FTF 站 点 主 目录 
主 目 好 景 FTP 内 罕 于 趾 洒 39 目录。 


博 入 主 日 杂 8 辽 性 * 


路 公交 ); 
GET 


济 


A LD | 
图 5-73 ”隔离 用 户 
to9j 在 “FTP 站 点 访问 权限 ”对 话 框 中 
“ 写 入 ” 复 选 框 ， 如 图 5-75 所 示 。 


上-$m [FFoR] my 


图 5-74 指定 FTP 站 点 主 目录 
PF， 选中 此 FTP 站 点 的 访问 权限 ， 在 此 选中 “ 读 取 ” 和 


蜡 gj 在 “已 成 功 完成 FTP 站 点 创建 向 导 ” 对 话 框 中 ， 单 击 “完成 ”按钮 ， 如 图 5-76 所 示 。 


FP 站 点 访问 仅 限 
设置 坟 TP 计 Si 限 、 


Ci TR 
厅 半 和风 
FSAW 


音 击 “下 一 步 " 完 所 向导 ~ 
世上 一 步 0 职 洛 
图 5-75 FTP 站 点 访问 权限 


加 | 
成 功 完成 FTP 站 点 创建 向 


于 


5-76 ”创建 站 点 完成 
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加 划 在 创建 FTP 站 点 之 后 ， 还 要 创建 两 个 虚拟 目录 ， 指 向 E:vwebl 与 E:\web2。 用 鼠标 右 击 


图 5-77 新 建 虚拟 目录 


四 在 “虚拟 目录 别名 ”对 话 框 中 , 设置 别名 为 web1( 如 图 5-78 所 示 ), 该 别名 将 指向 E:vwebl 
文件 夹 ， 如 图 5-79 所 示 。 


IEEETES TEE 
?TP 站 点 内 容 目 


虚拟 月 好 别名 录 
为 旧 检 目录 指定 一 个 天 和 或 员 各- 要 这 布 到 TIF 拓扑 内 Rd 再 < 


Tm 使 用 的 命名 如 M 仿 与 后 名 目 采 的 如 


栓 》 划 坟 比 rr 站 点 内 有 的 局 如 的 将 位 


Fo 
A 六 


《上 - 步 B) Ee 最 消 《上 - 步 中) LE 肌 消 
图 5-78 别名 图 5-79 指定 站 点 内 容 目录 


型 到 在 “虚拟 目录 访问 权限 ”对 话 框 中 ， 选 中 “ 读 取 ” 和 “ 写 入 ”权限 ， 如 图 5-80 所 示 。 
i 在 “已 成 功 完成 虚拟 目录 创建 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 完 成 webl 虚拟 目 
录 的 创建 ， 如 图 5-81 所 示 。 


[EU 
虚拟 日 录 访 问 权限 己 成 功 完成 虚拟 目录 创建 向 
六 本 二 目录 的 访问 权限。 导 。 
ET 
克 闵 取 QQ 
FA 
单 击 “ 下 一 步 ”完成 向 导 。 要 关闭 此 癌 导 ， 请 单 击 “ 完 质 ”” 
< 上 -| 到 消 上 于 二 | Era 
5-80 ”虚拟 目录 访问 权限 图 5-81 创建 虚拟 目录 完成 


型 色 然后 参照 步骤 11 ~ 14， 为 E:\web2 创建 名 为 web2 的 虚拟 目录 。 
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5.5.4 测试 隔离 FTP 服务 器 


在 创建 好 隔离 用 户 的 FTP 服务 器 、 设 置 好 虚拟 目录 、 设 置 好 各 目录 的 权限 之 后 ， 我 们 将 根据 


5.5.3 小 节 的 要 求 ， 测 试 隔离 用 户 FTP 服务 器 ， 测 试 步骤 如 下 。 


to 在 正 浏 览 器 中 ， 输 入 FTP 服务 器 的 地 址 “ftp:/192.168.1.10”， 按 回 车 键 ， 
面 ”菜单 中 选择 “在 Windows 浏览 器 中 打开 FTP” 选 项 ， 如 图 5-82 所 示 。 


CT rr ED 


err or Se ja 
FTP 根 位 于 192. 168.1. 10 

了 
车 本 在 Windows 资源 管理 器 中 去 省 此 FTP 站 点 ， 请 单 者 “页 面 uit 
rm OQ 


| | J 
了 | 


5-82 在 Windows 浏览 器 中 打开 FTP 


92 使 用 Windows 浏览 器 打开 FTP 之 后 ,在 右 侧 的 窗 格 中 单 击 鼠标 右键 ,在 弹出 的 快捷 菜单 


中 选择 “登录 ”按钮 ， 如 图 5-83 所 示 。 


[ED 
LEE 


图 5-83 登录 


03) 在 弹出 的 “登录 身份 ”对 话 框 中 ， 使 用 用 户 名 ws01 及 其 密码 登录 ( 如 图 5-84 所 示 ) ， 


登录 之 后 ， 进 入 ws01 的 主 目录 ， 如 图 5-85 所 示 。 


登录 后 ， 可 以 村 这 个 胜 务 到 法 加 到 冻 的 地 苹 夫 ， 以 恒 径 号 去 回 - 
Eo es 3 
厂 基 剖 对 凡 厂 代 fS) 
= ba EE 
图 5-84 用 ws01 登录 5-85 进入 ws01 文件 夹 
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to 级 然后 , 在 地 地址 栏 后 面 添加 webl 的 虚拟 目录 ， 并 按 回 车 键 , 进入 webl 所 在 的 文件 夹 ， 
如 图 5-86 所 示 。 登 录 之 后 ， 用 户 可 以 在 此 文件 夹 中 ， 删 除 或 新 建文 件 ， 也 可 以 从 本 地 复制 文件 、 
文件 夹 上 传 ( 粘贴 ) 到 该 目录 。 

t@Q 甸 由 于 当前 登录 的 用 户 ws01 对 服务 器 所 在 目录 E:\webl 具有 “完全 控制 ”权限 ， 所 以 ， 如 
果 是 “新 建 一 文件 夹 ”操作 ， 是 可 以 创建 成 功 的 ， 如 图 5-87 所 示 。 


EE 


TT 1 1 


rr eh 


由 
下 Bm La a [sz 


Caste 


5-86 ”进入 webl 虚拟 目录 〔 对 应 服务 器 E:\web1 文件 夹 ) 5-87 创建 文件 夹 成 功 


06j 如 果 此 时 登录 web2 虚拟 目录 ， 在 尝试 新 建文 件 夹 时 ， 会 出 现 “550 新 文件 夹 : Access is 
denied” 的 错误 ， 如 图 5-88 所 示 。 


Br 者 上 采 浊 文件 关 时 共生 缚 关 、 


鄞 请 xz ee re en 


EE [a 到 
5-88 不 能 创建 文件 夹 


然后 ， 用 户 可 以 使 用 ws02 登录 ， 查 看 ws02 读 写 webl1、web2 虚拟 目录 的 情况 ， 这 些 不 再 一 
一 介绍 。 


5.6 应 用 案例 : 使 用 Windows Server 2008 R2 
打造 双 线 FTP 服务 器 


前 文 介绍 过 ， 在 所 有 的 网 络 服务 中 ，FTP 服务 器 的 发 布 是 比较 复杂 的 ， 这 是 由 FTP 的 工作 原理 
造成 的 。 由 于 很 多 防火 墙 在 设置 的 时 候 都 是 不 允许 接受 外 部 发 起 的 连接 的 ， 所 以 许多 位 于 防火 墙 后 
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或 内 网 的 FTP 服务 器 不 支持 PASV 模式 ， 因 为 客户 端 无 法 穿 过 防火 墙 打 开 FTP 服务 器 的 高 端 端口 ; 
而 许多 内 网 的 客户 端 不 能 用 PORT 模式 登陆 FTP 服务 器 , 因为 从 服务 器 的 TCP 20 端口 无 法 和 内 部 
网 络 的 客户 端 建立 一 个 新 的 连接 ， 造 成 无 法 工作 。 

许多 情况 下 ， 最 终 用 户 没 有 机 会 配置 所 属 网 络 的 防火 墙 。 所 以 ， 为 了 解决 这 个 问题 ， 在 发 布 
FTP 服务 器 时 , 通常 是 让 FTP 服务 器 工作 在 PASV 模式 ,并 且 指 定 PASV 对 外 服务 的 地 址 以 及 PASV 
服务 的 端口 ， 让 防火 墙 发 布 指定 的 端口 。 

以 前 笔者 一 直 使 用 serv-u 做 FTP 服务器， 因为 笔者 的 网 络 中 有 不 止 一 台 FTP 服务 器 要 发 布 到 
Internet 供用 户 使 用 。 在 Windows Server 2008 及 其 以 前 的 版 本 中 ， 虽 然 Windows 操作 系统 自 带 的 
FTP 服务 器 非常 安全 ， 但 由 于 其 配置 较 少 ， 并 且 不 能 指定 PASV 端口 对 外 地 址 、 修 改 PASV 端口 
范围 较 复杂 等 因素 ， 所 以 一 直 使 用 serv-u 等 FTP 服务 器 软件 。 但 是 ， 随 着 64 位 Windows 操作 系 
统 的 普及 与 发 展 , 现在 在 网 络 中 配置 FTP 又 被 提 上 了 日 程 。 支持 64 位 Windows Server 操作 系统 的 
FTP 并 不 是 很 多 ， 并 且 这 些 FTP 服务 器 越 来 越 庞大 、 复 杂 ， 偶 尔 会 有 漏洞 出 现 。 而 对 于 我 们 大 部 
分 用 户 来 说 ， 需 要 FTP 服务 器 的 功能 有 限 ， 能 发 布 到 Intermet、 上 传 、 下 载 ， 并 能 分 用 户 管理 就 可 
以 了 。 目 前 ，Windows Server 2008 R2 升级 了 IS 中 集成 的 FTP 服务 器 ， 除 了 具有 原来 的 功能 外 ， 
还 增加 了 指定 PASV 地 址 与 端口 的 功能 ， 这 足以 满足 用 户 的 需求 。 在 接 下 来 的 文章 中 ， 我 们 通过 
一 个 案例 进行 介绍 。 


5.6.1 FTP 服务 器 实验 案例 


本 案例 中 ， 使 用 Forefront TMG 2010 进行 实验 。 在 图 5-89 中 ， 由 Forefront TMG 2010 保护 的 
内 网 中 ， 有 两 台 FTP 服务 器 , 这 两 台 FTP 服务 器 除了 供 内 网 使 用 外 , 还 发 布 到 Internet， 供 Internet 
用 户 使 用 。 并 且 ， 该 网 络 外 接 有 电信 与 联通 线路 ， 可 以 让 用 户 根据 自己 的 网 络 选择 是 使 用 电信 还 是 
联通 线路 连接 到 FTP 服务 器 。 

要 实现 图 5-89 所 描述 的 网 络 功能 ， 我 们 可 以 采用 多 种 方法 ， 在 此 先 采 用 一 个 以 前 在 serv-u 中 
采用 的 办 法 : 用 不 同 的 端口 发 布 FTP 服务 器 ， 我 们 通过 表 5-2 对 此 做 出 规则 。 


FTP1: 
IP:192. 168. 1. 11 
网 关 : 192. 168. 1.1 


Internet 用 户 Forefront TMG 2010 
FTP 用 户 外 网 : 10. 10. 10. 10 
内 网 : 192. 168. 1.1 


双 WAN 口 路 由 器 


电信 : 219. x. x.x FTP 客 户 端 
恬 联通 : 61.y.y.y 
< 内 网 ，10. 10. 10.1 
Internet 用 户 FTP2: 
FTP 用 户 IP: 192. 168. 1. 12 


网 关 : 192. 168. 1. 1 
图 5-89 FTP 实验 拓扑 
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表 5-2 双 线 FTP 服务 器 相关 信息 


服务 器 电信 服务 端口 联通 服务 端口 PASV 端口 内 网 服务 端口 
FTP1 2010 2011 2012 21 
FTP2 | 2020 2021 2022 21 


在 按照 表 5-2 规划 完成 后 ，Internet 的 用 户 如 果 使 用 电信 线路 ， 则 通过 ftp://219.x.x.x:2010 访问 
FTP1, 通过 ftp://219.x.x.x:2020 访问 FTP2; 如 果 使 用 联通 线路 , 则 通过 ftp://61.y.y.y:2011 访问 FTP1， 
通过 ftp://61.y.y.y:2021 访问 FTP2; 而 内 网 用 户 ， 则 直接 通过 ftp:/192.168.1.11 访问 FTP1， 再 通过 
ftp://192.168.1.12 访问 FTP2。 做 好 规划 之 后 ， 实 现 起 来 就 比较 简单 了 ， 这 里 不 再 讨论 。 


5.6.2 双 WAN 口 路 由 器 设置 


在 双 WAN 口 路 由 器 中 , 映射 TCP 的 2010、2011、2012、2020、2021、2022 到 Forefront TMG 
2010 的 “外 网 地 址 ”10.10.10.10， 如 图 5-90 所 示 。 


虚拟 服务 器 定义 了 广 域 凤 服务 端口 和 局 域 吧 由 络 服务 器 之 间 的 映射 关系 ， 所 有 对 该 广域网 
服务 端口 的 访问 将 会 被 重 定位 给 通过 IF 地 址 指定 的 局 域 网 网 络 服务 器 。 


10.10.10.10 


2 10.10.10.10 所 出 记 
| [而 第 王 允 _] [全 所 有 东 百 天 牙 | [ 丽 天 再 条 上 
上 ET 


图 5-90 配置 双 WAN 口 路 由 器 
5.6.3 ”Forefront TMG 设置 


在 Forefront TMG 2010 中 ,创建 两 个 自 定义 协议 ， 其 中 一 个 协议 名 称 为 FTP in:2010-2012 (也 
可 以 是 其 他 名 称 ) 、 采 用 TCP 协议 、 方 向 为 “入 站 ”、 协 议 号 为 2010 一 2012〈 如 图 5-91 所 示 ) ; 
另 一 个 协议 名 称 为 FTP _in:2020-2022、 协 议 号 为 2020 一 2022 的 TCY 入 站 协议 。 然 后 创建 “ 非 Web 
服务 器 发 布 规则 ”， 发 布 192.168.1.11 的 服务 器 ， 采 用 FTP_in:2010-2012 协议 ; 发布 192.168.1.12 
的 服务 器 ， 采 用 FTP_ in:2020-2022 协议 。 
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图 5-91 设置 连接 信息 
5.6.4 ”FTP 服务 器 设置 


在 FTP1 服务 器 中 (已 经 安装 好 Windows Server 2008 R2 协议 ) ， 安 装 IS 与 FTP 服务， 指定 
FTP 服务 器 使 用 PASYV 的 端口 为 2012， 创 建 三 个 FTP 服务 器 ， 这 三 个 服务 器 可 以 使 用 同一 个 “ 父 
目录 ”， 并 且 这 三 个 服务 器 的 服务 端口 分 别 为 21 (内 网 使 用 ) 、2010( 电 信使 用 ) 、2011 (网 通 
使 用 ) 。 相 关 步 骤 如 下 。 


io 出 在 “Internet 信息 服务 管理 器 ”中 ,在 IS 管理 的 根 路 径 ， 双 击 右 侧 的 “FTP 防火 墙 支持 ” 
链接 ， 如 图 5-92 所 示 。 


5-92 ”FTP 防火 墙 支持 


iog 在 “FTP 防火 墙 支持 ” 窗 格 ， 在 “数据 通道 端口 范围 ”文本 框 中 ， 输 入 前 面 规则 的 端口 
范围 ， 在 此 为 2012-2012， 然 后 单 击 “应 用 ”按钮 ， 如 图 5-93 所 示 。 


“198» 
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5-93 指定 PASV 端口 范围 


i0 旨 返回 到 图 5-92 后 ， 双 击 “FTP SSL 设置 ”链接 ， 选 中 “人 允许 SSL 连接 ”， 然 后 单 击 “ 应 
用 ”按钮 。 


接 下 来 创建 用 于 内 网 使 用 的 FTP， 该 FTP 服务 器 的 端口 为 21， 步 又 如 下 。 


i0 约 右 击 “ 网 站 ”， 在 弹出 的 快捷 菜单 中 选择 “添加 FTP 站 点 ”选项 ， 如 图 5-94 所 示 。 也 可 
以 单 击 右 侧 任务 窗 格 中 的 “添加 FTP 站 点 ”链接 。 


EE 


图 5-94 添加 FTP 站 点 


io 色 设置 站 点 名 称 为 “FTP-21”， 并 为 站 点 配置 物理 路 径 。 
iog 在 “ 绑 定 和 SSL 设置 ”对 话 框 ， 设置 端口 号 为 21， 在 “SSL” 选 项 组 中 ， 选 择 “ 无 ”。 
1 加 在 “身份 验证 和 授权 信息 ”对 话 框 ， 选 择 “ 匿 名 ”用 户 访问 ， 如 图 5-95 所 示 。 


Tt99s 
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5-95 ”匿名 访问 


然后 参照 步骤 4 一 7， 分 别 创 建 名 为 “FTP-DX_2010”“FTP-WT_2011” 的 FTP 站 点 ， 使 用 同 
一 个 目录 、 端 口 分 别 为 2010、2011， 这 些 不 再 一 一 介绍 。 


io8j 创建 完成 3 个 FTP 站 点 后 ,返回 到 IIS 管理 器 。 接 下 来 要 修改 各 FTP 服务 器 对 外 的 PASV 
的 IP 地址 ， 以 “FTP-DX 2010” 站 点 为 例 。 在 IS 中 ， 在 左 侧 任务 窗 格 选中 “FTP-DX 2010”， 
双击 右 侧 的 “FTP 防火 墙 支持 ”链接 ， 如 图 5-96 所 示 。 


后 页 
身 时 旭 0SpTwaniaistrater) 


5-96 ”FTP 防火 墙 支持 


在 弹出 的 “FTP 防火 墙 支持 ”窗口 中 ， 在 “防火 墙 的 外 部 他 地 址 ”文本 框 中 ， 输 入 外 网 的 他 
地 址 ， 在 本 例 中 是 219.x.x.Xx， 然 后 单 击 “ 应 用 ”按钮 ， 如 图 5-97 所 示 。 
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5-97 指定 PASV 的 IP 地 址 


I09) 同样 ， 对 于 发 布 到 网 通 的 “FTP-WT 2011”FTP 站 点 , 修改 其 PASV 的 IP 地 址 为 网 通 的 


地 址 ， 在 本 例 中 为 61.y.y.y。 


加 0 而 对 于 用 于 内 网 的 FTP， 则 不 需要 修改 其 PASV 的 他 地 址 ， 该 地 址 为 空 即 可 。 
经 过 上 述 配置 ，Intemet 上 的 用 户 以 及 内 网 的 用 户 ， 就 可 以 使 用 不 同 的 地 址 与 端口 访问 同一 台 


FTP 服务 器 中 的 内 容 了 。 


第 6 章 Windows 系统 更 新 服务 器 
(WSUS ) 应 用 


Windows 系统 虽然 以 操作 简单 、 界 面 友好 的 特点 赢得 了 广大 用 户 的 青睐 ， 但 是 ， 层 出 不 穷 的 
漏洞 却 时 时 威胁 着 系统 的 安全 。 因 此 ， 微 软 公 司 也 会 经 常 发 布 各 种 更 新 和 补丁 程序 。 许 多 用 户 除了 
使 用 “Windows Update” 更 新 外 ， 还 使 用 “360 安全 卫士 ”或 者 其 他 厂商 的 一 些 软件 进行 更 新 。 实 
际 上 , 360 安全 卫士 (或 者 类 似 的 产品 ) 本 身 并 不 能 提供 Microsoft 产品 的 更 新 , 他 们 也 是 等 Microsoft 
发 布 补丁 之 后 ， 将 补丁 的 下 载 地 址 发 给 用 户 ， 由 用 户 再 从 Microsoft 站 点 下 载 补丁 并 进行 安装 。 对 
于 单机 用 户 或 者 家 庭 用 户 来 说 , 使 用 360 安全 卫士 等 软件 可 以 减轻 用 户 的 负担 。 但 如 果 是 局 域 网 用 
户 ， 且 当 网 络 中 计算 机 数量 较 多 时 ， 大 量 计算 机 从 Microsoft 网 站 下 载 更 新 ， 会 占用 大 量 Internet 
带宽 。 

那么 ， 有 没有 一 种 办 法 ， 或 者 有 没有 这 么 一 种 服务 器 ， 在 局 域 网 中 ， 可 以 利用 网 络 空闲 的 时 
间 《〈 例 如 凌晨 时 间 ) 自动 从 Microsoft 的 网 站 获得 更 新 ， 而 局 域 网 中 的 计算 机 在 工作 时 间 从 局 域 网 
的 这 台 服 务 器 获得 更 新 , 这 样 既 减 少 了 Internet 网 络 带宽 的 占用 , 又 加 快 了 打 补 丁 的 速度 呢 ? WSUS 
就 是 这 样 一 款 产品 。 


6.1 WSUS 3.0 概述 与 系统 需求 


WSUS 是 Windows Server Update Services 的 简称 ， 是 微软 推出 的 网 络 化 补丁 分 发 方案 。 通 过 
WSUS， 可 以 集中 下 载 所 有 的 微软 产品 更 新 ， 使 客户 端 可 以 从 WSUS 服务 器 快速 、 方 便 地 下 载 所 
需要 的 更 新 ， 而 不 必 连 接 到 微软 网 站 去 下 载 ， 从 而 节省 带宽 、 提 高 效率 。WSUS 服务 器 的 特点 如 
F: 


e@ WSUS 是 一 款 免费 产品 ， 由 Microsoft 推出 。 产 品 的 安全 性 、 兼 容 性 毋庸 置疑 。 

日 WSUS 对 计算 机 配置 的 要 求 不 高 ， 只 要 有 足够 的 硬盘 空间 即 可 。 

@ WSUS 支持 Microsoft 众多 的 操作 系统 、 应 用 程序 与 服务 器 类 产品 ， 例 如 Windows XP、 
Windows Server 2003、Windows 7、Windows Server 2008、Office XP、Office 2003、Office 
2007、SQL Server、Exchange 等 。 

日 WSUS 服务 器 不 需要 加 入 到 “ 域 ”， 只 要 是 网 络 内 的 一 台 服 务 器 即 可 。 
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客户 端 采用 WSUS 服务 器 进行 补丁 的 升级 与 管理 工作 ， 不 需要 对 客户 端 做 过 多 复杂 的 设置 。 
如 果 是 域 中 的 工作 站 ， 可 以 用 “组 策略 ”统一 设置 。 所 有 加 入 到 域 的 计算 机 都 可 以 自动 从 WSUS 
服务 器 升级 ; 没有 加 入 到 域 的 计算 机 ， 可 以 通过 导入 注册 表 文 件 完 成 设置 。 

通常 情况 下 ，Windows 操作 系统 从 Microsoft Update 站 点 或 者 其 他 合作 站 点 下 载 Microsoft 产 
品 的 补丁 (如 图 6-1 所 示 ) ， 然 后 手动 安装 。 家 庭 用户 ， 或 者 是 中 小 企业 用 户 ， 大 多 使 用 这 种 方式 。 
但 是 ， 如 果 网 络 规模 较 大 ， 计 算 机 数量 较 多 ， 大 量 计 算 机 从 Microsoft 网 络 下 载 更 新 ， 就 会 占用 大 
量 的 网 络 带 宽 ， 从 而 影响 其 他 的 网 络 应 用 。 另 外 ，Windows 补丁 并 不 是 一 起 发 布 的 ， 可 能 每 隔 一 
段 时 间 发 布 几 次 补丁 ， 如 果 手 动 下 载 更 新 ， 就 会 占用 管理 员 和 用 户 很 多 时 间 。 


Microsoft Update 


$ SY 


图 6-1 普通 用 户 升级 方式 
WSUS 是 企业 内 部 的 升级 服务 器 ， 它 可 以 从 Microsoft Update 站 点 下 载 所 有 的 Microsoft 更 新 ， 
而 工作 站 则 从 WSUS 服务 器 上 升级 (如 图 6-2 所 示 ) ， 这 样 不 仅 大 大 减少 了 带宽 的 占用 ， 还 可 以 
管理 工作 站 使 其 “自动 ”升级 。 


Microsoft Update 


WSUS 服务 器 


| we 


SS 工作 站 


图 6-2 WSUS 体系 结构 


如 果 企 业 网 络 规模 比较 大 ， 采 用 一 台 WSUS 服务 器 不 能 满足 需要 ， 可 以 采用 “多 级 ”WSUS 
的 体系 结构 ， 即 为 不 同 网 络 配 置 “ 下 游 ” WSUS 服务 器 “下游” WSUS 服务 器 从 “上 游 ”WSUS 
服务 器 下 载 更 新 ， 而 “上 游 ” WSUS 服务 器 直接 从 Microsoft Update 站 点 下 载 更 新 ， 如 图 6-3 所 示 。 
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0 Microsoft Update 
月 - 上 游 WSUS 


下 游 WSUS SS 下 下 2 
LEEy™ 


6-3 多 级 WSUS 体系 结构 


6.2 WSUS 3.0 的 安装 与 配置 


WSUS 3.0 SP1 安装 程序 可 以 从 如 下 站 点 下 载 : http://www.microsoft.com/downloads/zh-cn/ 
details.aspx?familyid=f87b4c5e-4161-48af-9ff8-a96993c688df&displaylang=zh-cn。 

在 下 载 的 时 候 ， 文 件 名 为 “WSUSSetup 30SP1 x64.exe ”是 64 位 版 本 ,文件 名 为 
“WSUSSetup_30SP1_x86.exe” 是 32 位 版 本 ， 请 根据 自己 的 服务 器 操作 系统 的 产品 ， 选 择 合适 的 


(1 府 做 这 个 实验 的 时 候 , 由 于 WSUS 服务 器 需要 从 Microsof 网 站 下 载 更 新 ,所 以 , 须 保证 Windows 


2008 R2 虚拟 机 可 以 访问 Intemet， 且 需要 根据 网 络 情况 ,在 虚拟 机 中 设置 人 P 地 址 及 DNS。( 2 ) Windows 
Server 2008 R2 需要 下 载 64 位 的 WSUS。 如 果 你 是 在 Windows Server 2008 的 32 位 版 本 做 实验 ， 请 下 载 
32 位 的 WSUS。 


6.2.1 安装 WSUS 服务 器 


WSUS 服务 器 需要 IIS 与 Microsoft .NET Framework 3.0 的 支持 ， 如 果 要 安装 WSUS 服务 器 ， 
首先 需要 安装 IS， 主 要 步骤 如 下 。 


虽 在 “服务 器 管理 器 窗口 中 , 添加 “功能 ”, 在 “选择 功能 ”对 话 框 中 , 选中 “.Net Framework 
3.0 功能 ” 复 选 框 ， 如 图 6-4 所 示 。 

3 在 安装 完 Net Framework 后 ， 添 加 “角色 ”， 安 装 IS 服务 ， 至 少 要 选择 “静态 内 容 ”、 
“ASPNET”、“6.0 管理 兼容 性 ”、 “Windows 身份 验证 ”服务 ， 如 图 6-5 所 示 。 
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7 | 
6-5 安装 IS 及 其 相关 角色 
在 安装 完 .Net Framework 与 IS 服务 之 后 ， 就 可 以 安装 WSUS 3.0 SPl1 了 ， 主 要 步骤 如 下 。 


0 运行 WSUS 3.0 的 安装 程序 ， 进 入 WSUS 3.0 SP1 的 安装 向 导 ， 如 图 6-6 所 示 。 
02 在 “安装 模式 选择 ”的 对 话 框 中 ， 单 击 “包括 管理 控制 台 的 完整 服务 器 安装 ” 单 选 按钮 ， 
然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 6-7 所 示 。 


EOP 


| 
图 6-6 WSUS 安装 向 导 图 6-7 安装 模式 选择 


tQ3 在 “许可 协议 ”对 话 框 中 选中 “我 接受 许可 协议 条 款 ” 单 选 按 钮 ， 然 后 单 击 “ 下 一 步 ” 
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按钮 ， 如 图 6-8 所 示 。 


ROSOFT WINDOWS SERVER UPDATE 
|sERVICES 3.0 SERVICE PACK 1 
请 注意 : Miaoeoft Corporaton (或 Microcoft Corporaton 在 多 所 在 
地 的 关联 公司 》 现 拉巴 您 本 补充 各 的 计 梧 证 > 六 可 以 三 Wicrozoft 
wndows Server 软件 “软件 ”) 的 与 从 各 悍 有 效 许 可 的 副 太 霹 用 | 


打 
Ee | /sul | 
6-8 “许可 协议 ”对 话 框 6-9 ”使 用 管理 UI 所 需 的 组 件 


0g 在 “选择 更 新 源 ” 的 对 话 框 中 ， 选 择 保存 WSUS 更 新 文件 的 位 置 ， 在 默认 情况 下 ， 安 装 
程序 会 自动 选择 一 个 空间 最 大 的 分 区 ， 并 且 保 存在 WSUS 文件 夹 中 ， 如 图 6-10 所 示 。 
06j 在 “数据 库 选 项 ”对 话 框 中 ， 选 择 保存 WSUS 3.0 数据 库 的 文件 位 置 ， 如 图 6-11 所 示 。 
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= wn 
图 6-10 “选择 跟 新 源 ” 对 话 框 图 6-11 “数据 库 选择 ”对 话 框 


I0Z 在 “网 站 选择 ”对 话 框 中 ， 指 定 用 于 WSUS 3.0 服务 的 网 站 。 如 果 安装 WSUS 3.0 的 服务 
器 不 用 做 其 他 用 途 ， 可 以 选择 “使 用 现 有 IIS 默认 网 站 ”， 这样， 所 有 的 WSUS 客户 端 将 使 用 TCP 
的 80 端口 访问 和 更 新 补丁 ， 如 图 6-12 所 示 。 如 果 安 装 WSUS 3.0 的 服务 器 的 IIS 默认 网 站 有 其 他 
用 途 ， 可 以 选择 “创建 Windows Server Update Services 3.0 网 站 ”， 这 样 ， 所 有 WSUS 客户 端 将 使 
用 TCP 的 8530 端口 访问 和 更 新 补丁 ， 如 图 6-13 所 示 。 推 荐 选择 后 者 ， 为 WSUS 服务 器 创建 单独 
的 管理 网 站 。 
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图 6-12 ”使 用 默认 网 站 图 6-13 ”创建 网 站 
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I08| 在 “准备 安装 Windows Server Update Services 3.0 SP1” 对 话 框 中 ， 显 示 了 安装 信息 ， 单 
击 “ 下 一 步 ”按钮 ， 如 图 6-14 所 示 。 

09| 在 “正在 完成 Windows Server Update Services 3.0 SP1 安装 向 导 ” 对 话 框 中 , 单 击 “ 完 成 
按钮 ， 如 图 6-15 所 示 。 


正在 完成 Windows Server lpdate 
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要 关闭 此 向 号 :请 单 二 "完成 “。 


ls | EE Sw | 
图 6-14 显示 安装 信息 图 6-15 ”安装 完成 


6.2.2 WSUS 3.0 的 配置 向 导 


在 完成 WSUS 安装 之 后 ， 首 先 会 进入 “Windows Server Update Services 配置 向 导 ” 界 面 ， 接 下 
来 将 介绍 WSUS 服务 器 端的 配置 ， 步 又 如 下 。 


0 在 6.2.1 节 图 6-15 中 单 击 “ 完 成 ”按钮 后 弹出 “Windows Server Update Services 配置 向 
导 ” 对 话 框 ，“ 在 您 开始 之 前 ”窗口 中 (如 图 6-16 所 示 ) ， 单 击 “ 下 一 步 ”按钮 。 

03 在 “加 入 Microsoft Update 改善 计划 ”对 话 框 中 ,根据 需要 , 选择 是 否 加 入 Microsoft Update 
改善 计划 ， 如 图 6-17 所 示 。 
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图 6-16 和 图 6-17 加 入 Microsoft Update 改善 计划 


不 管 是 否 加 入 “Microsoft Update 改善 计划 ”， 都 不 影响 WSUS 3.0 的 使 用 (本 例 中 加 入 了 
Microsoft Update 改善 计划 )。 


3 在 “选择 “上 游 服 务 器 ” ”的 对 话 框 中 ， 选 择 当 前 WSUS 服务 器 从 中 同步 的 “上 游 ” 服 
务 器 。 如 果 这 是 网 络 中 的 一 台 WSUS 服务 器 ， 则 选择 “从 Microsoft Update 进行 同步 ”， 如 图 6-18 
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所 示 。 如 果 网 络 中 已 经 存在 上 游 WSUS 服务 器 ， 则 选择 “从 其 他 Windows Server Update Services 
服务 器 进行 同步 ”， 并 且 在 “服务 器 名 ”文本 框 中 ， 输 入 上 游 WSUS 服务 器 的 下 地 址 或 计算 机 名 ， 


在 “端口 号 ”文本 框 中 ， 输 入 上 游 WSUS 服务 器 的 端口 号 ， 如 图 6-19 所 示 (本 例 中 采用 的 是 从 
Microsoft Update 进行 同步 ) 。 
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6-18 从 Microsoft Update 进行 同步 图 6-19 从 其 他 服务 器 同步 


0 在 “指定 代理 服务 器 ”对 话 框 中 ， 设 置 当前 WSUS 服务 器 访问 Internet 的 方式 ， 如 果 当 
前 计算 机 需要 使 用 代理 服务 器 访问 Microsoft Update (或 者 WSUS 上 游 服务 器 ) ， 请 选中 “在 同步 
是 使 用 代理 服务 器 ” 复 选 框 并 且 正确 设置 代理 服务 器 的 参数 ， 如 果 当 前 计算 机 不 需要 代理 服务 器 ， 
请 保持 默认 值 ， 如 图 6-20 所 示 (本 例 中 未 采用 代理 服务 器 ) 。 

to 多 在 “连接 到 上 游 服 务 器 ”对 话 框 中 ， 单 击 “ 开 始 连接 ”按钮 ， 当 前 WSUS 服务 器 将 从 
Microsoft Update ( 如 图 6-21 所 示 ) 或 者 上 游 服务 器 获得 更 新 信息 
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6-20 ”指定 代理 服务 器 6-21 连接 Microsoft Update 


连接 完成 后 ， 单 击 “ 下 一 步 ”按钮 。 
tog 在 “选择 “语言 ”对 话 框 中 ， 选 择 所 需 语言 ( 默认 情况 下 ， 选 择 当 前 服务 器 使 用 的 语 


言 ， 本 例 为 “中 文 (简体 ) ”) ， 如 图 6-22 所 示 。 如 果 当 前 WSUS 服务 器 是 从 上 游 WSUS 服务 器 
更 新 ， 将 显示 “下 载 上 游 服务 器 支持 的 所 有 语言 的 更 新 ”或 “ 仅 下 载 这 些 语言 的 更 新 ( 上 游 服务 器 
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只 支持 标 有 星 号 的 语言 ) ”; 如 果 当 前 WSUS 服务 器 是 从 “Microsoft Update 更 新 ”， 将 显示 “下 
载 包 括 更 新 语言 在 内 的 所 有 语言 的 更 新 ”或 “ 仅 下 载 这 些 语言 的 更 新 ”。 通 常情 况 下 ， 只 让 WSUS 
下 载 与 WSUS 服务 器 相同 语言 的 更 新 即 可 。 

0 到 在 “选择 “产品 ，” 对 话 框 中， 选择 当前 WSUS 服务 器 将 要 下 载 的 产品 更 新 。 对 于 管理 
员 来 说 ， 可 以 根据 自己 所 管理 的 网 络 中 安装 的 Microsoft 操作 系统 、Server、 应 用 程序 等 进行 选择 。 
在 本 例 中 ， 因 为 是 实验 的 管理 ， 只 选择 “Virtual PC”， 如 图 6-23 所 示 。 
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图 6-22 ”选择 语言 图 6-23 选择 产品 


在 安装 完 WSUS 之 后 ， 可 以 随时 根据 需要 ， 增 加 或 减少 选择 更 新 的 Microsoft 产品 。 


由 8| 在 “选择 “分 类 ”对话 框 中 ， 指 定 要 同步 的 更 新 分 类 ， 如 图 6-24 所 示 

tQ9j 在 “配置 同步 计划 ”对 话 框 中 , 选择 “自动 同步 ”, 设 定 当 前 WSUS 服务 器 与 上 游 WSUS 
服务 器 同步 的 方式 与 同步 的 时 间 ， 通 常情 况 下 ,选择 网 络 空 闪 的 时 间 , 例如 每 天 的 午夜 ,如 图 6-25 
所 示 。 
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图 6-24 选择 产品 分 类 图 6-25 设 定 同步 时 间 
轩 0| 在 “完成 ”对 话 框 中 ， 选 中 “启动 Windows Server Update Services 管理 控制 台 ” 复 选 框 ， 
取消 “开始 初始 同步 ”， 如 图 6-26 所 示 。 
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加 是 在 “后 续 步骤 ”中 ， 单 击 “ 完 成 ”按钮 ， 完 成 WSUS 服务 器 的 配置 ， 如 图 6-27 所 示 。 
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图 6-26 “完成 ”对 话 框 6-27 ”完成 WSUS 的 配置 


WSUS 升级 服务 器 的 安装 配置 已 基本 完成 ， 下 面 将 介绍 WSUS 服务 器 的 其 他 配置 。 
6.2.3 ”WSUS 服务 器 自动 审批 与 修改 更 新 配置 


为 了 让 WSUS 服务 器 “完全 自动 ”地 从 Microsoft 的 更 新 服务 器 获得 更 新 并 自动 审批 ， 或 者 用 
户 想 要 修改 WSUS 的 更 新 配置 ， 可 以 按照 如 下 的 步骤 进行 操作 。 
04 从 “管理 工具 ”中 运行 “Microsoft Windows Server Update Services 3.0 SP1” 程 序 ， 进 入 
WSUS 管理 控制 台 ， 在 左 侧 的 窗 格 中 选择 “选项 ”， 在 右 侧 可 以 对 WSUS 服务 器 进行 配置 。 单 击 
“自动 审批 ”链接 ， 如 图 6-28 所 示 。 
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四 6-28 ”自动 审批 


ti 到 在 “自动 审批 ”对话 框 中 , 单 击 “ 安 全 更 新 程序 、 关 键 更 新 程序 ”链接 ( 如 图 6-29 所 示 ) ， 
在 弹出 的 “选择 “更 新 分 类 ”对话 框 中 ， 选 中 “所 有 分 类 ”对 话 框 ， 如 图 6-30 所 示 。 


设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 ， 返 回 到 WSUS 管理 控制 台 。 这样， 以 后 当 WSUS 服务 器 “上 
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游 更 新 服务 器 ”或 “Microsoft 更 新 服务 器 ”有 更 新 时 ，WSUS 服务 器 将 完成 “自动 审批 ”的 工作 。 
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图 6-29 ”修改 自动 审批 图 6-30 选择 所 有 分 类 
iO3j 返回 到 WSUS 管理 控制 台 后 ， 单 击 “ 更 新 文件 和 语言 ”链接 ， 如 图 6-31 所 示 。 
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6-31 更 新 文件 和 语言 


to 约 打开 “更 新 文件 和 语言 ”对 话 框 ， 在 “更 新 文件 ”选项 卡 中 ， 选 中 “下 载 快速 安装 文 
件 ” 复 选 框 ， 如 图 6-32 所 示 。 如 果 要 修改 更 新 语言 ， 可 以 在 “更 新 语言 ”选项 卡 中 修改 ， 如 
图 6-33 所 示 。 


全体) 
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图 6-32 下载 快速 安装 文件 图 6-33 更 新 语言 
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5 返回 到 WSUS 管理 控制 台 后 ， 单 击 “ 产 品 和 分 类 ”链接 ， 打 开 “ 产 品 和 分 类 ”对 话 框 ， 
可 以 在 “产品 ”选项 卡 中 ， 指 定 要 同步 更 新 的 产品 (如 图 6-34 所 示 ) ， 在 “分 类 ”选项 卡 ， 指 定 
要 同步 更 新 的 分 类 ， 如 图 6-35 所 示 。 


Cw |_iew 
图 6-34 更 新 产品 图 6-35 更 新 分 类 


06) 设置 完成 后 ， 在 左 侧 任务 窗 格 单 击 “服务 器 计算 机 名 ”， 在 右 侧 单 击 “立即 同步 ”链接 ， 
WSUS 服务 器 将 开始 从 Microsoft 更 新 服务 器 检索 可 用 的 更 新 并 自动 下 载 ， 如 图 6-36 所 示 。 在 “ 同 
步 状 态 ” 中 显示 了 同步 状态 ， 在 “下 载 状 态 ”中 显示 了 当前 需要 下 载 的 文件 更 新 数量 、 已 下 载 更 新 
大 小 、 一 共 需 要 下 载 的 更 新 大 小 。 同 时 在 “连接 ”处 显示 了 当前 WSUS 服务 器 的 更 新 端口 、 服 务 
器 版 本 等 。 
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6-36 同步 状态 


6.3 工作 站 端的 配置 


于 WSUS 的 目的 就 是 为 Windows 客户 端 提供 更 新 ， 因 此 ， 任 何 Windows 操作 系统 都 可 以 
从 WSUS 服务 器 下 载 更 新 ， 但 需要 通过 组 策略 进行 配置 。 
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6.3.1 通过 本 地 策略 配置 客户 端 


通过 组 策略 或 本 地 策略 编辑 器 配置 WSUS 客户 端 ， 是 最 常用 的 方法 之 一 。 如 果 是 在 域 环 境 中 ， 
管理 员 可 以 通过 组 策略 来 集中 部 署 ; 而 工作 组 中 的 计算 机 则 需要 在 每 台 计 算 机 上 修改 本 地 策略 使 其 
成 为 WSUS 客户 端 。 

下 面 以 Windows 2000/XP 操作 系统 为 例 ， 介 绍 通 过 本 地 策略 配置 客户 端的 步骤 ， 如 下 所 示 。 


tO 贡 以 管理 员 身份 登录 ， 依 次 单 击 “ 开 始 ” 一 “运行 ”， 在 “运行 ”对 话 框 中 输入 gpeditmsc 
命令 。 

to3 依次 展开 “计算 机 配置 ”一 “管理 模板 ”项 目 ， 右 击 “ 管 理 模 板 ” 并 选择 快捷 菜单 中 的 
“添加 /删除 模板 ”选项 ， 打 开 “ 添 加 /删除 模板 ”对 话 框 。 

tO3j 单 击 “ 添 加 ”按钮 ， 在 “策略 模板 ”对 话 框 中 选择 wuau.adm， 如 图 6-37 所 示 。 单 击 “ 打 
开 ” 按 钮 ， 添 加 到 “添加 /删除 模板 ”对 话 框 。 

to 细 单 击 “ 关 闭 ”按钮 ， 返 回 “组 策略 ”窗口 。 依 次 展开 “管理 模板 ”一 “Windows 组 件 ” 
一 “Windows Update”， 如 图 6-38 所 示 。 此 时 ， 即 可 进行 从 WSUS 服务 器 获取 更 新 的 配置 。 
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6-38 Windows Update 


如 果 系 统 是 Windows XP、Vista、Windows 7， 则 直接 从 第 ( 4 ) 步 开 始 配置 。 


tog 双击 “配置 自动 更 新 ”项 目 ， 显 示 如 图 6-39 所 示 “ 配 置 自动 更 新 属性 ”对 话 框 。 单 击 
“启用 ” 单 选 按钮 ， 在 “配置 自动 更 新 ”列表 中 选择 自动 更 新 的 方式 ， 建 议 选择 “3 - 提醒 下 载 并 
提醒 安装 ”选项 。 完 成 后 单 击 “ 确 定 ” 按 钮 即 可 。 

06 在 “Windows Update” 窗 口中 双击 “指定 intranet Microsoft 更 新 服务 器 位 置 ”， 显示 “ 指 
定 intranet Microsoft 更 新 服务 器 位 置 属性 ”对 话 框 。 单 击 “启用 ” 单 选 按钮 ， 在 “设置 检测 更 新 
的 intranet 更 新 服务 ”和 “设置 intranet 统计 服务 器 ”文本 框 中 ， 分 别 输入 WSUS 服务 器 地 址 ， 格 
式 为 “http://WSUS 名 称 或 地 地 址 ”， 如 图 6-40 所 示 。 
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例如: http://Tntranettpanl) 


上 一 第 咯 @@) 下 一 第 史 0) 


职 消 应 用 多 取消 从 用 节 
图 6-39 配置 自动 更 新 图 6-40 ”指定 Intranet Microsoft 更 新 服务 器 位 置 


如 果 WSUS 服务 器 没有 使 用 默认 端口 ， 则 指定 更 新 服务 器 和 统计 服务 器 时 , 也 需要 指 
定 匹配 的 通信 端口 ， 如 http://211.82.216.33:8530。 


0 单 击 “ 确 定 ”按钮 保存 设置 。 这 样 ，Windows 2000、XP、Vista 等 操作 系统 的 计算 机 即 
可 自动 从 WSUS 服务 器 获取 更 新 了 。 


6.3.2 ”通过 组 策略 配置 客户 端 


如 果 网 络 中 的 计算 机 都 已 经 加 入 到 域 ， 则 可 以 在 域 控制 器 上 ， 修 改组 策略 中 “计算 机 配置 一 
管理 模板 一 Windows 组 件 一 Windows Update” 策 略 ， 指 定 WSUS 服务 器 的 地 址 以 及 其 他 的 选项 ， 
其 设置 方法 、 步 又 与 上 一 节 内 容 相同 ， 不 做 过 多 介绍 。 

修改 策略 后 ， 在 域 控 制 器 上 ， 进 入 命令 提示 符 ， 执 行 gpupdate /force 强制 策略 更 新 。 


6.3.3 ”通过 导入 注册 表 文 件 指定 WSUS 服务 器 


如 果 网 络 中 的 计算 机 没有 加 入 到 域 ， 或 者 网 络 中 的 计算 机 是 一 些 安装 Windows XP home 操作 
系统 的 计算 机 ， 则 可 以 通过 导入 “注册 表 ” 的 方式 ， 指 定 WSUS 服务 器 。 可 以 在 一 台 计 算 机 上 ， 
指定 当前 网 络 中 WSUS 服务 器 的 地 址 以 及 其 他 配置 参数 ， 然 后 运行 regedit ， 将 
HKEY LOCAL MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 键 值 导出 注册 
表 文 件 , 然后 将 此 文件 通过 内 部 网 站 、 邮 件 或 其 他 方式 发 给 需要 的 计算 机 ,双击 导入 注册 表 文 件 即 
可 ， 下 面 是 一 个 导出 的 注册 表 文件 的 内 容 : 


REGEDIT4 

[HKEY _ LOCAL MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] 
"RescheduleWaitTime"=dword:00000004 
"NoAutoRebootWithLoggedOnUsers"=dword:00000001 

"NoAutoUpdate"=dword:00000000 

"AUOptions"=dword:00000004 

"ScheduledInstallDay"=dword:00000000 

"ScheduledInstallTime"=dword:00000003 
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"UseWUServer"=dword:00000001 


[HKEY LOCAL MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] 
"WUServer"="http://172.30.5.6:8530/" 
"WUStatusServer"="http://172.30.5.6:8530/" 


[HKEY CURRENT USER\Software\WMicrosoft\Windows\CurrentVersion\Group Policy Obijects\{4B5496D0-0AEE- 
4C56-834A-15B8D28DAD]18}Machine\Software\Policies\Microsoft\Windows\WindowsUpdate] 
"WUServer"="http://172.30.5.6:8530/" 
"WUStatusServer"=http://172.30.5.6:8530/ 
在 本 例 中 ，WSUS 服务 器 的 地 址 是 172.30.5.6, 服 务 端口 是 8530， 那 只 要 修改 、 替 换 其 中 的 地 
址 、 端 口 为 自己 网 络 中 的 WSUS 服务 器 的 地 址 与 端口 ， 并 用 “记事 本 ”保存 成 扩展 名 为 reg 的 文 
件 即 可 使 用 。 


6.3.4 客户 端 获取 并 安装 更 新 文件 
服务 器 端 批准 指定 的 更 新 程序 后 ， 客 户 端 就 可 以 开始 安装 了 ， 操 作 步 又 如 下 。 


0 和 如 果 是 通过 域 控制 器 组 策略 配置 的 客户 端 则 可 以 重新 登录 到 域 控制 器 ， 如 果 修改 的 是 本 
地 计算 机 策略 ， 则 可 以 使 用 强制 刷新 的 方法 使 其 立即 生效 。 

W02) 正确 连接 到 WSUS 服务 器 后 ， 工 作 站 会 自动 连接 WSUS 服务 器 并 从 WSUS 服务 器 下 载 
补丁 ， 当 补丁 下 载 完 成 后 ， 会 在 右 下 角 出 现 黄色 的 “ 国 ” 并 提示 “已 经 为 您 的 计算 机 准备 好 更 新 ， 
单 击 此 处 安装 这 些 更 新 ”， 如 图 6-41 所 示 。 


已 经 为 您 的 计算 机 准备 好 更 新 。 
单 击 此 处 安装 这 些 更 新 。 
ge 7 多 《9 EN De" 
图 6-41 客户 端 提示 信息 


03) 单 击 信息 提示 框 开始 安装 所 需 更 新 ， 显示 如 图 6-42 所 示 的 选择 安装 方式 提示 框 ， 当 然 是 
否 出 现 该 提示 框 和 前 面 修改 本 地 策略 或 域 控制 器 组 策略 时 选择 的 方式 是 一 致 的 , 如 果 默 认 下 载 并 安 
装 则 不 会 出 现 提示 框 而 是 直接 安装 更 新 了 。 这 里 提供 了 两 种 安装 方式 , 快速 安装 和 自 定义 安装 ， 建 
议 选择 快速 安装 。 

四 单 击 “ 安 装 ” 按 钮 即 可 开始 安装 ， 显 示 如 图 6-43 所 示 的 “正在 安装 更 新 ”窗口 ， 此 时 用 
户 可 以 最 小 化 当前 窗口 继续 其 他 操作 .根据 需要 安装 的 更 新 内 容 的 多 少 ,需要 的 时 间 也 会 有 所 不 同 ， 
安装 完成 后 同样 会 在 系统 任务 栏 出 现 气泡 提示 框 。 

tog 安装 完成 后 有 些 更 新 内 容 必 须 重 新 启动 计算 机 后 才 可 以 生效 ， 所 以 可 能 会 提示 重新 启动 
计算 机 。 
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Bz © >J| tonatic Upiates 回国 
您 想 怎样 安装 更 新 ? 站 
每 起 Te winterebenoineiated 
Po 
和 
个 快速 实 装 推荐 ) 下 ) |Instaling Windows xp 要 新 程序 (KE893451)】 (wpdats 1 of 2) 
轻 梭 实 装 对 容 的 计算 机 适用 的 更 新 。 这 将 保卫 名前 计算 机 有 最 新 的 软 补 > 
自 定 义 雪 装 高 鸭 ) 0 
注意 您 可 能 需要 重启 动 计算 机 使 更 新 生效 - 
] 


_ | 
图 6-42 ”选择 安装 方式 图 6-43 正在 安装 更 新 


6.4 WSUS 常见 故障 解决 


WSUS 服务 器 在 网 络 中 的 重要 性 毋庸 置疑 ， 但 WSUS 服务 器 的 使 用 也 不 是 一 帆 风 顺 的 ， 本 文 
将 介绍 使 用 WSUS 服务 器 中 ， 碰 到 的 几 个 重要 问题 并 介绍 解决 方法 ， 以 方便 用 户 的 使 用 。 


6.4.1 关于 CPU 占用 率 100% 问 题 


当 用 户 第 一 次 配置 WSUS 服务 器 ， 为 网 络 中 的 计算 机 提供 升级 服务 时 ， 刚 开始 为 工作 站 配置 
使 用 WSUS 服务 器 升级 时 ， 有 些 工 作 站 的 速度 会 非常 慢 。 这 时 ， 在 这 些 工作 站 的 “任务 管理 器 ” 
中 ， 会 显示 CPU 占用 率 100%， 而 在 “进程 ”选项 卡 中 查看 时 ， 将 会 发 现 svchostexe 进程 占用 了 
100% 或 者 占用 了 将 近 100% 的 CPU 资源 ， 如 图 6-44、 图 6-45 所 示 。 


扎 windows 任务 管理 器 ofx ETTTTTTETEE =19lx| 
文件 虽 志 项 @) 查看 W 关机 (W) 和 盈 中 | 文件 过 项 0) 查看 W (WD Mt) el 
应 用 程序 | 进程 [于 稻 | 联 网 | 用 户 | 应 用 程序 进程 | 性 能 | 联网 | 用 户 | 
CPV 合用 一 CPV I 
| tasingr. exe innan 6,146 K 
wmiprvse. exe NETWORK SERVICE 02 6,496 K 
VwareService. YSTEN 3,820 K 
一 一 一 一 一 一 Svchost .exe NETWORK SERVICE 01 4,428 kK 
-pF 使 用 率 页 面 文件 使 用 记录 1sass exe YSTEN L704K 
Services, exe SYSTEN 01 3,468 K 
Csrss. exe SYSTEMN 01 6,272 了 
人 explorer. exe Linnan 01 10, 632 K 
prSnap6. exe Linnan 00 Gls2Kk 
| wusuclt., exe SYSTEN 18,776 K 
ES 二 wuaucltl. exe Linnan 00 5,044 kK 
总数 物理 内 存 K) conime. exe Liman 00 4244 kK 
句柄 数 7741 | | 总 数 S23760 cmd exe Li oo 2,904 kK 
斌 程 数 398 可 用 数 173864 alg exe LOCAL SERVICE 00 3,780 K 
进程 数 38 | 系统 缓存 176664 wdService exe SYSTI 00 6,964 K 
se Ymailmon. exe SYSTEN 00 1 156 K 
-认可 用 量 吧 ) 核心 内 存 DO) kissve. exe SYSTEN 00 4,384 K 
总 数 383000 总 数 26728 mscorsvyw. exe SYSTEN 00 440k | 
限制 1275888 | | 分 页 数 18584 ee as 
峰值 415040 | | 未 分 页 B144 7 显示 所 有 用 户 的 进程 E) 结束 进程 全 
隘 程 数 : 38 [cPu 使 用 : 100% 腿 交 更 疏 : 374M 1 1245M 有 进程 数 : 38 JEPu 使 用 : 100% 提交 更 改 : 374M | 1245M 


图 6-44 CPU 占用 率 100% 图 6-45 svchost.exe 占用 了 大 量 CPU 资源 


当 工 作 站 出 现 这 个 问题 时 ， 可 以 暂时 中 止 svchostexe 进程 ， 然 后 从 “http://download. 
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microsoft.com/download/7/6/6/766c2a2c-dc75-4417-8afe-7ed5c4ec1b06/WindowsXP-KB927891-v3-x86 
-CHS.exe” 下 载 补丁 , 在 工作 站 上 安装 这 个 补丁 , 重新 启动 计算 机 ,就 可 以 解决 该 问题 。 需要 注意 ， 
在 安装 补丁 的 时 候 ， 只 有 出 现 图 6-46、 图 6-47 的 界面 ， 才 表示 补丁 正确 安装 。 在 有 的 工作 站 上 ， 

需要 反复 多 次 安装 这 个 补丁 ， 才 能 解决 问题 。 


WSUS 服务 器 也 已 经 提供 这 个 补丁 ， 但 由 于 各 种 原因 ， 有 的 工作 站 不 能 及 时 安装 这 个 补丁 ， 就 会 出 
现 CPU 占用 率 100% 的 现象 。 


软件 更 新 安 半 向 导 加 | 
许可 协议 正在 完成 Windows 邓 更 新 
安装 向 导 


效 已 二 芒 完 成 KP827691 安装 向导 。 
要 关闭 此 向导 ,语音 击 “ 完 成 ” 


6-46 ”安装 补丁 图 6-47 安装 KB927891 补丁 完成 


当 WSUS 在 后 全 自动 安装 补丁 时 ，CPU 占用 率 暂 时 会 达到 100%， 但 不 会 一 直达 到 100%,， 而 是 在 
40% ~ 100% 之 间 反 复 ， 出 现 这 种 情况 是 正常 的 。 


6.4.2 ”工作 站 不 能 连接 上 WSUS 服务 器 的 问题 


当 使 用 gpedit.msc 配置 工作 站 以 使 用 WSUS 服务 器 更 新 时 ， 或 者 使 用 编辑 好 的 “注册 表 文 件 ” 
导入 工作 站 ， 以 从 企业 内 部 的 WSUS 服务 器 升级 时 ， 第 一 次 使 用 时 ， 为 了 让 工作 站 立刻 从 WSUS 
服务 器 下 载 补丁 ， 在 命令 提示 符 下 使 用 : 

wuauclt /detectnow 
wuauclt] /detectnow 

之 后 ， 再 使 用 netstat -an 时 ， 没 有 发 现 到 WSUS 服务 器 的 连接 。 

或 者 ， 没 有 使 用 上 述 命令 〈 此 时 工作 站 会 在 管理 员 规定 的 时 间 从 WSUS 服务 器 下 载 并 安装 补 
丁 ) ， 但 在 经 过 几 天 之 后 ， 工 作 站 没有 从 WSUS 服务 器 下 载 任何 补丁 ， 并 且 在 WSUS 服务 器 上 ， 
也 没有 发 现 该 工作 站 《〈 可 以 通过 计算 机 名 称 、 卫 地 址 检查 ) ， 此 时 需要 在 该 工作 站 上 安装 “WSUS 
客户 端 代理 ”程序 ， 并 重新 启动 计算 机 ， 将 解决 这 个 问题 。 程 序 下 载 地 址 为 : 

http://download.windowsupdate.com/WindowsUpdate/redist/standalone/7.0.6000.381/WindowsUpd 


ateAgent30-x86.exe 
安装 提示 如 图 6-48、 图 6-49 所 示 。 
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Windows Update 代理 安装 程序 [本 


您 必须 接受 许可 协议 才能 安装 Windors WWdate 代理 。 


您 已 经 成 功 地 安装 了 Windovs Update 代理 


MICROSOFT WINDOWS UPDATE AGENT 3.0 


请 注意 。 Microsoft Corporation (或 Micrcsoft 可 
Corporation A Ps 充 
程序 的 许可 证 kM rr 


口 末 不 同 四 OMA 


[EEE=*mjEKEma Cw] 


图 6-48 ”安装 update agent 图 6-49 ”安装 完成 


6.4.3 ”关于 自动 更 新 的 问题 


当 工作 站 端 配置 为 “自动 下 载 并 计划 安装 ”时 ， 工 作 站 将 会 在 指定 的 时 间 安 装 ， 配 置 界面 如 
图 6-50 所 示 。 可 能 有 的 朋友 认为 ， 这 样 工作 站 不 会 在 指定 的 时 间 安 装 ， 但 经 过 多 次 测试 ， 结 果 
如 下 。 

当 工作 站 从 WSUS 服务 器 下 载 完 补丁 后 ， 全 全 下 角 出 现 黄色 的 “ 恩 ” 图 标 并 提示 “已 经 为 
您 的 计算 机 准备 好 更 新 ， 单 击 此 处 安装 这 些 更 新 。”， 如 图 6-51 所 示 。 

配置 自动 更 新 属性 

[如 “说明 

名 局 生动 更 新 


〇 未 号 置 C) 
OBB 用 GE) 
侣 已 禁用 @) 


配置 自动 更 新 : | 4 - 自动 下 载 并 计划 安装 
只 有 在 选择 4 时 

下 列 设置 才 需 要 并 适用 。 

计划 右 装 日 期 ， |0 - 每 天 


~ 


计划 避 装 时 间 M4 


i ” 
CD Ce Cw [= 网 用 电力 JS 
图 6-50 设置 自动 更 新 属性 图 6-51 提示 补丁 已 经 下 载 完成 
根据 用 户 是 否 选择 ， 将 会 有 三 种 情况 : 
(1) 如 果 用 户 单 击 “ 转 "图标 ， 会 弹出 如 图 6-52 所 示 的 对 话 框 ， 此 时 单 
可 开始 安装 补丁 。 
(2) 如 果 用 户 没 有 选择 ， 则 在 到 达 图 6-50 所 设置 的 时 间 后 ，WSUS 客户 端 程序 会 自动 在 后 
安装 补丁 , 这 时 ,如 果 打 开 “Windows 任务 管理 器 ”, 在 “进程 ”选项 卡 中 , 会 发 现 一 个 svchostexe 
进程 占用 了 大 量 的 CPU 资源 ， 并 且 占 用 了 大 量 内 存 ， 这 个 进程 会 完成 补丁 ee 如 
图 6-53 所 示 。 另 外 ， 还 可 以 在 “进程 ”选项 卡 中 看 到 安装 的 补丁 ， 如 图 6-54 所 示 。 
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图 6-52 手动 安装 补丁 


到 
| 
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6-53 ”WSUS 在 后 台 安 装 补丁 


安装 完成 后 ， 安装 的 补丁 需要 重新 启动 计算 机 ， 如 对 于 有 已 登录 用 户 的 计算 机 ， 计划 的 自动 更 新 安装 不 执 . . . 原 | 陀 | 
果 WSUS 客户 端 尾 “对 于 有 已 登录 用 户 的 计算 机 ,计划 || 弛 
的 自动 更 新 安装 不 执行 重新 启动 ”这 一 项 设置 为 “禁用 ” oie aheadre estin adisse 
或 “未 配置 ” (如 图 6-55 所 示 ) ， 则 会 弹出 5 分 钟 倒 计 。 | 8 于 8 蝇 
时 窗口 ， 并 在 达到 指定 时 间 内 ， 如 果 无 人 取消 该 操作 ， 四 
计算 机 将 会 重新 启动 。 如 果 配 置 为 “已 启用 ”， 则 会 弹 
出 “更 新 完成 ， 是 否 需 要 重新 启动 计算 机 ”的 提示 。 如 
果 安 装 的 补丁 不 需要 重新 启动 计算 机 ， 则 不 会 有 任何 
提示 。 

(3) 如 果 在 指定 的 时 间 没 有 安装 ， 则 Windows XP 
会 在 “关机 ”的 时 候 ， 安 装 该 更 新 ， 如 图 6-56 所 示 。 


图 6-55 配置 自动 启动 


2219 
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图 6-56 ”自动 安装 更 新 
6.4.4 服务 器 使 用 WSUS 的 问题 


对 于 Windows Server 2008、Windows Server 2003 的 服务 器 来 说 ， 最 好 设置 服务 器 在 夜间 自动 
安装 并 自动 重启 ， 设 置 关键 点 为 : 


e@ 在 图 6-50 中 ， 选 择 服务 器 空闲 时 间 ， 例 如 晚上 11:00 之 后 ， 上 午 5:00 之 前 。 
@ 在 图 6-55 中 ， 单 击 “未 配置 ”或 “已 禁用 ” 单 选 按钮 。 


6.4.5 ”关于 Vista/Windows 7 客户 端的 问题 


当 工作 站 是 Vista 或 Windows 7 操作 系统 时 ， 除 了 可 以 使 用 wuauclt 命令 立刻 从 WSUS 服务 器 
检查 并 下 载 补丁 ， 还 可 以 在 “控制 面板 一 Windows Update” 中 ， 单 击 “ 检 查 更 新 ”如 图 6-57 所 
示 ) ， 立 刻 从 WSUS 服务 器 检查 并 下 载 更 新 补丁 ， 如 果 不 使 用 WSUS 服务 器 ， 可 以 单 击 “ 在 线 检 
查 来 自 Microsoft Update 的 更 新 ”从 Microsoft 网 站 检查 升级 补丁 。 


| eT) 
Rw | 


HE Windows Ultimate Extras 的 Windows Update 


正在 检查 更 新 


IE 检查 更 新 4 亲信 天 814 


过 的 守 禾 。。 用 天 1203。 互 震 理 硬 历 去 忆 汉 
Windows 每天 1200 各 届 R 委 条 宁可 ) 
EE 和 六 入 涅 直行 理 


6-57 ”检查 更 新 
6.4.6 ”关于 Windows XP SP3 补丁 的 问题 


在 WSUS 服务 器 上 ，Windows XP SP3 补丁 不 能 自动 审批 ， 需 要 管理 员 在 WSUS 服务 器 上 ， 
手动 审批 该 补丁 ， 如 图 6-58 所 示 。 
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图 6-58 ”Windows XP SP3 更 新 需要 手动 审批 


6.4.7 升级 到 XP SP3 后 出 现 “0x80070002” 错 误 


在 审批 XP SP3 后 ， 网 络 中 的 一 些 工 作 站 出 现 “一 个 问题 阻止 Windows 正确 检查 此 机 器 的 许 
可 证 。 错 误 代 码 0x80070002” 的 提示 ， 然 后 注销 计算 机 ， 当 再 次 进入 后 ， 仍 然 提示 此 错误 ， 不 能 
正常 使 用 。 

这 是 由 该 计算 机 安装 的 是 “破解 ”版 本 的 Windows XP 操作 系统 造成 的 。 一 般 情况 下 ， 使 用 
WSUS 服务 器 ， 为 网 络 中 的 工作 站 提供 升级 补丁 时 ， 不 会 检测 操作 系统 是 否 正版 ， 但 在 以 下 的 情 
况 下 例外 : 


e@ 安装 Windows Media Player 11 的 时 候 。 

@ 安装 IE 7.0 的 时 候 (后 来 取消 了 这 个 限制 ) 。 

。 升级 到 XP SP3 时 。 

出 现 这 个 问题 后 ， 虽 然 一 些 资料 上 说 ， 恢 复 C:\windows\system32 下 的 oembios.bin 文件 即 可 ， 
但 实际 上 ， 这 个 问题 大 多 数 情 况 下 均 需 要 重新 安装 操作 系统 才能 解决 。 在 重新 安装 的 时 候 ， 建 议 使 
用 Windows XP 的 VL 版 本 ， 而 不 要 使 用 “破解 ”版 或 某 些 “精简 ”版 。 


6.4.8 WSUS 服务 器 出 现 “此 服务 器 不 支持 必要 。 wama | 5 

的 HTTP 协议 ” 错误 = RS ed i ser 3 革 司 
| 
用 户 QD: WA -时 | 


当 WSUS 服务 器 不 能 下 载 某 些 补丁 ， 并 且 在 “事件 查 计 和 机 O) stss 
A 
后 智能 人 上 务 GTTS 要 服务 时 持 共 加 内 议 头 


adel ead/ up detef soEiwer /seu/2008/08/windouse.0- 


看 器 ”中 可 以 看 到 “内 容 文件 下 载 失败 。 原 因 : 此 服务 器 不 
支持 必要 的 HTTP 协议 。 后 台 智 能 传送 服务 (BITS) 要 求 服 


务 器 支持 范围 协议 头 ”的 描述 ， 如 图 6-59 所 示 。 | 
经 过 分 析 ， 可 能 是 单位 防火 墙 的 设置 问题 , 可 以 暂时 把 | RESSWewawsaawae | 
WSUS 的 BITS 服务 关闭 ， 就 能 解决 这 个 问题 在 WSUS 中 一 一 一 一 
不 使 用 BITS 下 载 而 是 直接 下 载 补丁 的 方法 如 下 : 可 
确定 取消 也 用 区 


d “http://download.mi ft.com/download/ 
en oe 图 6-59 WSUS 服务 器 不 能 下 载 
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7/7/4/7745a34e-f563-443b-b4f8-3a289e995255/WSUS%20Server%20Debug%20ToolLEXE” 下 载 WSUS 
Debug 工具 。 这 是 一 个 自 解压 的 程序 ， 下 载 之 后 ， 运 行 这 个 程序 ， 将 该 程序 解压 到 一 个 文件 夹 中 ， 
例如 C 盘 的 1 文件 夹 中 ， 如 图 6-60 所 示 。 


YSUS Server Debug Tool 画 回 区 
Please type the location where you want to place the extracted fles 
[er Eowse.. 

Ok Cancel 


图 6-60 ”指定 解压 缩 路 径 


,02 在 Windows Server 2003 安装 光盘 中 ， 从 “supporttools” 文 件 夹 中 找到 sup_srv.cab 文件 ， 
从 该 文件 中 解压 缩 bitsadmin.exe 程序 到 图 6-60 中 的 路 径 。 

,03 进入 命令 提示 符 , 进入 图 6-60 解压 缩 的 路 径 , 执行 wsusdebugtool /tool:setforegrounddownload 
命令 ， 禁 止 使 用 BITS 下 载 更 新 ， 而 是 直接 下 载 更 新 ， 如 图 6-61 所 示 。 


图 6-61 直接 下 载 更 新 


0 和 再 次 进入 WSUS， 同 步 WSUS ( 如 图 6-62 所 示 ) ,返回 到 “事件 查看 器 ”中 ， 不 会 再 出 
现 类 似 图 6-59 的 错误 提示 。 


Veste Servs ces 
EECTETT 


提 人 夫人 六 且 f 写 寺 术 东 新 更 新 和 要 到 1 昌 机 上 
Al6 和 遇 
ER 
了 ， 
Jia 

EE 

EE 


lr PY 了 


图 6-62 同步 WSUS 
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在 图 6-62 中 ， 从 21:20 开始 同步 ， 不 到 20 分 钟 的 时 间 ， 已 经 下 载 了 900MB 左右 的 补丁 。 

隔 一 夜 之 后 ， 可 能 仍然 会 出 现 “WSUS 不 能 下 载 ” 的 错误 ， 但 WSUS 已 经 下 载 了 大 量 的 、 以 
前 不 能 下 载 的 补丁 ， 进 入 命令 提示 符 ， 重 新 运行 wsusdebugtools.exe /tool:setforegrounddownload， 
然后 再 同步 WSUS， 继 续 下 载 ， 多 下 载 几 次 也 就 可 以 了 。 这 样 ， 虽 然 每 次 都 能 出 现 错误 ， 但 每 次 
都 能 下 载 补丁 ， 直 到 把 所 有 的 补丁 下 载 完 。 

同时 ,还 可 以 在 “选项 ”对 话 框 中 ,把 WSUS 从 上 游 服 务 器 的 同步 次 数 增加 ， 以 解决 “WSUS 
不 能 下 载 ” 的 错误 。 


之。 
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Windows Server 2008 R2 是 Microsoft 公司 最 新 的 服务 器 操作 系统 ， 安 全 性 高 ， 配 置 灵 活 、 方 
便 ， 集 成 了 Hyper-V 虚拟 化 功能 ， 能 够 充分 发 挥 硬 件 的 性 能 。Windows Server 2008 R2 改写 了 底层 
的 网 络 传输 代码 ， 理 论 上 ， 在 传送 大 文件 时 ， 速 度 要 比 Windows Server 2003 快 8 倍 以 上 。 由 于 
Windows Server 2003 已 经 不 能 充分 发 挥 硬件 的 性 能 ， 因 此 ， 在 未 来 的 几 年 中 ， 原 来 基于 Windows 
Server 2003 的 服务 器 平台 都 将 逐步 升级 到 Windows Server 2008 及 Windows Server 2008 R2 。 


7.1 Windows 网 络 应 用 概述 


在 现代 企业 网 络 中 ， 为 了 提高 网 络 的 安全 性 ， 减 轻 网 管 与 最 终 用 户 的 负担 ， 需 要 在 网 络 中 部 
署 多 种 服务 器 。 例 如 ， 用 于 企业 内 网 、 外 网 隔离 的 防火 墙 与 代理 服务 器 、 用 于 内 网 TCP/IP 地 址 分 
配 的 DHCP 服务 器 、 用 于 名 称 解析 的 DNS 服务 器 、 用 于 NetBIOS 名 称 解 析 的 WINS 服务 器 、 用 于 
操作 系统 远程 安装 的 RIS 与 Windows 部 署 服务 器 、 用 于 操作 系统 与 应 用 软件 补丁 的 WSUS 服务 器 、 
用 于 邮箱 的 邮件 服务 器 、 用 于 企业 即时 消息 与 视频 会 议 的 OCS 2007 服务 器 、 用 于 Windows 服务 
器 与 工作 站 管理 的 SCOM 2007 服务 器 、 用 于 企业 安全 的 证 书 服务 器 等 。 这 些 服务 器 综合 应 用 、 互 
相配 合 , 可 以 让 企业 网 络 处 在 可 管理 的 、 安 全 的 状态 下 。 同时, 连接 这 些 服务 器 与 工作 站 的 交换 机 、 
路 由 器 等 也 是 必 不 可 少 的 。 如 图 7-1 所 示 是 一 个 基于 Windows 网 络 的 ， 包 括 各 种 服务 器 并 且 用 来 
提供 各 种 服务 的 网 络 拓扑 图 。 


Rs 运程 安装 Exchung 


i 0cs2007 
DCP 服 务 器 邮件 服务 器 归 对 销 生 与 视频 会 议 


TSA server 或 TMG Server 
防火 境 与 代理 服务 器 


工作 站 


7-1 Windows 网 络 拓扑 图 
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7.1.1 Windows 服务 器 规划 


Windows 产品 比较 多 ， 并 且 每 个 产品 的 功能 、 用 途 也 不 同 。 在 实际 的 网 络 中 ， 很 少 有 企业 需 
要 部 署 所 有 的 Windows 产品 ， 通 常 都 是 根据 自己 企业 的 特点 和 实际 需求 ， 部 署 其 中 的 若干 种 服务 
器 。 下 面 将 介绍 各 种 Windows 服务 器 的 名 称 、 用 途 ， 及 其 相关 关系 ， 以 便 用 户 根据 自己 企业 的 情 
况 加 以 选择 。 


1. Active Directory 服务 器 


Active Directory 的 中 文 名 称 为 “活动 目录 ”， 简 称 为 AD。 活动 目录 服务 器 是 Microsoft 其 他 
服务 器 的 基础 ， 负 责 对 网 络 中 的 所 有 工作 站 及 所 有 服务 器 进行 “集中 ”管理 ， 例 如 Exchange 服务 
器 、DFS 与 文件 服务 器 、RIS 与 Windows 部 署 服务 器 等 。 

从 Windows 2000 开始 , Microsoft 引进 了 “组 织 单位 (OU) ”等 概念 , 并 设计 了 Active Directory 
网 络 方式 ， 相 对 于 以 前 的 Windows NT 域 ，Active Directory 增加 了 更 多 的 功能 。 以 前 的 NT 网 络 ， 
基本 上 处 于 “人 工 ” 状 态 ， 如果 网 络 中 的 工作 站 需要 进行 安装 程序 、 系 统 升级 或 安装 操作 系统 等 工 
作 ， 都 需要 管理 员 到 每 一 台 工作 站 上 直接 操作 。 当 工作 站 的 数量 非常 多 时 (如 500 台 或 1000 台 以 
上 ) ， 工 作 量 将 非常 大 ， 而 使 用 Active Directory 服务 就 很 容易 解决 这 个 问题 。Active Directory 服 
务 可 以 实现 以 下 几 点 : 

e@ 应 用 程序 能 “自动 ”通过 网 络 进行 安装 。 

@ 用 户 的 文档 、 程 序 以 及 设置 (比如 Office 程序 的 设置 、 桌 面 的 图 标 、 其 他 应 用 程序 的 参数 

设置 ) 自动 保存 在 网 络 中 的 文件 服务 器 上 ， 并 自动 与 本 地 的 工作 站 进行 同步 。 如 果 需 要 ， 
员工 可 以 在 指定 的 计算 机 上 使 用 属于 自己 的 用 户 名 和 密码 登录 ， 而 文档 与 设置 也 随员 工 

“跟随 ”到 每 一 台 计 算 机 ， 并 且 每 名 员工 只 能 使 用 他 们 自己 的 文档 ， 不 能 查看 其 他 的 文档 
与 数据 ， 反 之 亦 然 。 

@ ”由 于 员工 的 数据 已 经 提前 备份 到 了 网 络 中 的 服务 器 上 ， 当 员工 的 计算 机 硬盘 或 者 计算 机 损 
坏 时 ， 不 需要 网 络 管理 员 恢 复数 据 。 只 要 让 员工 更 换 损 坏 的 部 件 ， 重 新 安装 系统 ， 并 使 用 
自己 的 用 户 名 、 密 码 登录 ， 数 据 即 可 自动 从 服务 器 还 原 。 

@ 如果 员工 忘记 了 自己 的 登录 密码 ， 不 需要 找 “ 网 络 总 管理 员 ”， 只 要 找 其 部 门 中 的 一 个 技 
术 人 员 ， 就 可 以 修改 自己 部 门 员工 的 登录 密码 。 


可 见 , 只 要 实现 了 上 述 网 络 环境 和 系统 配置 后 , 用 户 就 能 够 完成 从 操作 系统 的 安装 、 软 件 部 署 ， 
到 用 户 定制 、 用 户 数据 备份 等 步骤 的 全 自动 操作 。 


2. Windows Server 2008 


使 用 Windows Server 2008 及 Windows Server 2008 R2，IT 专业 人 员 对 其 服务 器 和 网 络 基础 结 
构 的 控制 能 力 更 强 ， 从 而 可 重点 关注 关键 业务 需求 。Windows Server 2008 R2 通过 加 强 操作 系统 和 
保护 网 络 环境 提高 了 安全 性 ， 可 以 加 快 开 系统 的 部 署 与 维护 ， 使 服务 器 和 应 用 程序 的 合并 与 虚拟 
化 更 加 简单 ， 提 供 直观 管理 工具 ， 操 作 更 灵活 。 


.228 。 
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3. DHCP 


DHCP 服务 器 可 以 自动 为 网 络 中 的 “所 有 工作 站 ”分 配 TCP/IP 地 址 、 子 网 掩 码 、 网 关 地 址 、 
DNS 服务 器 地 址 及 WINS 服务 器 地 址 ， 从 而 大 大 减轻 网 络 管理 员 的 负担 ,并且 避 免 由 于 TCP/IP 地 
址 设置 等 问题 引起 网 络 故 障 。 


4.DNS 


DNS 服务 器 为 “所 有 工作 站 ”互相 访问 (使 用 DNS 名 称 访问 ) 、“ 所 有 工作 站 ”与 “所 有 服 
务 器 ”互相 访问 、 以 及 “所 有 工作 站 ”和 “所 有 计算 机 ”访问 Internet 提供 名 称 解 析 服务 ， 负 责 把 
类 似 于 “www.sohu.com”、“server.heinfo.local” 解 析 成 对 应 的 TCP/IP 地 址 。 


5. WINS 


WINS 服务 器 为 “所 有 工作 站 ”、“ 所 有 服务 器 ”之 间 使 用 “NetBIOS 名 称 ” 互 相 访问 提供 解 
析 服 务 ， 负 责 把 类 似 于 “computer” 的 计算 机 名 称 解 析 成 对 应 的 TCP/IP 地 址 。 


6. RIS 远程 安装 服务 器 


RIS 服务 器 是 Windows 2000 Server、Windows Server 2003 内 置 的 服务 ， 可 以 为 没有 安装 操作 
系统 的 “所 有 工作 站 ”远程 安装 Windows XP、Windows 2000、Windows Server 2003 操作 系统 。 


7. Windows 部 署 服务 


Windows 部 署 是 RIS 服务 的 升级 版 本 ， 它 集成 在 Windows Server 2008 中 ， 可 以 为 网 络 中 的 计 
算 机 远程 部 署 Windows Vista 与 Windows Server 2008 操作 系统 。 


8. WSUS 服务 器 


WSUS 用 于 为 Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 
Server 2008 操作 系统 提供 补丁 服务 ,同时 也 为 Microsoft 系列 软件 如 Office、SQL Server、ISA Server、 
Exchange Server 等 产品 提供 补丁 服务 。 


9. Forefront TMG Server 


Forefront TMG Server 是 Microsoft 的 防火 墙 与 代理 服务 器 软件 。 在 使 用 Forefront TMG Server 
时 ， 可 以 让 “指定 的 计算 机 ”在 “指定 的 时 间 ”、 以 “指定 的 协议 ”访问 “指定 网 络 ” 中 的 “指定 
的 服务 器 ”。Forefront TMG Server 的 配置 非常 灵活 ， 使 用 简单 、 方 便 。 


10. 证 书 服务 器 


证 书 服务 器 用 于 局 域 网 、 广 域 网 的 安全 通信 ， 可 以 用 于 “所 有 用 户 ” 之 间 发 送 安 全 加 密 的 电 
子 邮 件 、 用 于 “Web 服务 器 ”对 外 提供 安全 的 Web 访问 、 用 于 “远程 工作 站 ”安全 访问 企业 内 部 
局 域 网 。 


11. Exchange 邮件 服务 器 


Exchange Server 系列 是 Microsoft 的 电子 邮件 服务 器 , 可 以 为 “< 所 有 工作 站 ”、“ 远 程 工作 站 ”、 
Internet 用 户 提 供电 子 邮 件 服务 。Exchange Server 在 使 用 时 需要 Active Directory 的 支持 。 
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12. 视频 会 议 与 即时 消息 服务 器 

Microsoft Lync 2010 是 带 有 即时 消息 、 会 议和 语音 功能 的 真正 的 统一 通信 客户 端 。Lync 2010 
通过 更 新 的 用 户 界面 将 通信 工具 组 合 在 一 起 , 用 户 可 按照 习惯 的 方式 使 用 它们 。 此 客户 端的 特点 是 
带 有 仪表 板 ， 用 户 可 以 轻松 地 查找 和 使 用 常见 功能 ， 比 如 拨号 盘 、 可 视 语音 邮件 、 联 系 人 列表 和 活 
动 对 话 列表 。 

13. SCOM 2007 系统 管理 服务 器 


SCOM 2007 的 全 称 是 System Center Operations Manager 2007， 用 于 管理 Microsoft 系列 服务 器 
与 工作 站 ， 它 也 需要 Active Directory 的 支持 。 


14. 其 他 服务 器 


在 Windows 网 络 中 ， 还 要 用 到 其 他 服务 器 。 例 如 ，DFS 服务 器 可 以 将 网 络 中 的 “所 有 服务 器 ” 
联合 起 来 ， 使 用 户 通过 访问 “单一 访问 点 ” 即 可 访问 “所 有 服务 器 ”上 提供 的 资源 。 

文件 服务 器 用 来 将 网 络 中 的 “所 有 服务 器 ”进行 进一步 管理 , 可 以 提供 “文件 夹 配额 ”与 “ 文 
件 屏蔽 ”功能 ， 可 以 限制 用 户 使 用 的 共享 文件 夹 的 大 小 以 及 只 能 保存 “文件 服务 器 ”指定 的 文件 。 

RRAS 服务 器 是 “路 由 和 远程 访问 服务 器 ”的 简称 ,可 以 用 作 “ 所 有 工作 站 ”与 “所 有 服务 器 ” 
访问 Intemet 的 代理 服务 器 ,也 可 以 用 作 通 过 Internet (或 者 使 用 其 他 方式 上 网 ) 访问 企业 内 部 局 域 
网 的 “远程 访问 服务 器 ”， 还 可 以 用 作 “ 远 程 访问 的 路 由 器 ”。 


7.1.2 交换 机 规划 


在 Microsoft 系列 产品 中 , 除了 DHCP 服务 器 、RIS 服务 器 和 Windows 部 署 服务 器 需要 对 企业 
的 三 层 交 换 机 进行 配置 外 , 其 他 的 服务 器 都 不 涉及 三 层 交 换 机 的 配置 。 如果 企 业 网 络 中 没有 使 用 三 
层 交 换 机 ， 或 者 虽然 使 用 了 三 层 交 换 机 ， 但 没有 划分 VLAN， 同 样 也 不 需要 对 三 层 交 换 机 进行 配 
置 。 

如 果 DHCP 服务 器 、RIS 和 Windows 部 署 服 务 器 在 VLAN 环境 中 ， 需 要 在 三 层 交 换 机 中 配置 
“DHCP 中 继 ”， 使 其 指向 DHCP 服务 器 、RIS 与 Windows 部 署 服务 器 的 地 址 ， 其 他 的 则 不 需要 
配置 。 

在 使 用 ISA Server 时 ， 如 果 涉 及 到 多 出 口 的 环境 ， 也 需要 对 三 层 交换 机 进行 配置 ， 这 时 候 需 
要 配置 静态 路 由 。 


7.2 将 Windows Server 2008 R2 升级 到 Active Directory 


从 本 章 开 始 ， 介 绍 使 用 Windows Server 2008、Windows Server 2008 R2 的 Active Directory 管 
理 网 络 的 内 容 。. 为 了 统一 ,本 章 中 服务 器 的 计算 机 名 为 dc, 域名 为 heinfo.local,IP 地 址 为 172.30.5.15， 
子 网 掩 码 为 255.255.255.0，DNS 服务 器 地 址 为 172.30.5.15。 所 有 工作 站 地 址 为 172.30.5.30 一 
172.30.5.200， 子 网 掩 码 为 255.255.255.0，DNS 服务 器 地 址 为 172.30.5.15。 

在 实际 的 网 络 中 ， 如 果 工 作 站 和 服务 器 需要 上 网 ， 或 者 网 络 中 有 多 个 VLAN， 还 要 正确 设置 
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网 关 地 址 ， 而 DNS 服务 器 可 以 通过 在 服务 器 172.30.5.15 上 设置 DNS 转发 来 获得 。 

如 果 读 者 使 用 Windows 2008 R2 虚拟 机 来 做 这 些 实验 ， 须 将 Windows 2008 R2 的 虚拟 机 的 虚 
拟 硬盘 “还 原 ” (可 以 使 用 HyperV 的 “快照 ”与 “还 原 ” 功 能 ) 。 

在 将 Windows 2008 R2 虚拟 机 还 原 后 ， 须 设置 计算 机 的 IP 地 址 为 172.30.5.15、DNS 为 
172.30.5.15〈 如 图 7-2 所 示 ) ， 单 击 “ 确 定 ” 按 钮 。 修 改 计 算 机 的 名 称 为 de 〈 如 图 7-3 所 示 ) 后 ， 
重新 启动 计算 机 。 


三 自动 负 得 下 她 址 四) 


个 合用 下 的 TT 地 址 名 ) 

Hi [Ten mm 
Fn [E-E | 
AI 


a 用 丰 直 汇 iD 
人 a 朋 务 基地 直 | 


人 合用 下 的 my 只 ee 
于 
毅 用 IIS 时 从 器 的 


图 7-2 设置 I 地 址 与 DNS 7-3 ”修改 计算 机 名 称 
再 次 进入 Windows Server 2008 R2 后 ， 以 管理 员 账 户 (Administrator) 登录 ， 执 行 如 下 操作 。 


0 出 打开 “运行 ”对 话 框 ， 运 行 “dcpromo” 命 令 ， 启 动 活动 目录 安装 向 导 ， 如 图 7-4 所 示 ， 
单 击 “ 下 一 步 ”按钮 。 

03 在 “选择 某 一 部 署 配置 ”对 话 框 ， 选 中 “在 新 林 中 新 建 域 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 ， 如 图 7-5 所 示 。 


这儿 一 部 轩 本 让 
站 末 为 现 有 宁 或 新 林 创建 志 制 器。 -二 


个 预 有 林 们 ) 
大 


三 全 用 训 六 弄 式 才 装 0) 


fe 
有 关 hctivs Tirectars |08 全 航 详 细 守 息 
| 一 | 
7-4 活动 目录 安装 向 导 7-5 在 新 林 中 新 建 域 


03 在 “命名 林 根 域 ” 对 话 框 中 ， 在 “目录 林 根 级 域 的 FQDN” 文 本 框 中 输入 已 规划 的 域名 
heinfo .local， 单 击 “ 下 一 步 ”按钮 ， 开 始 检查 域名 称 ， 如 图 7-6 所 示 。 

I04 在 “设置 林 功能 级 别 ” 对 话 框 ， 选 择 林 功能 级 别 ， 如 果 网 络 中 只 有 Windows Server 2008 
R2 的 服务 器 ， 则 选择 “Windows Server 2008 R2”， 如 果 网 络 中 还 有 Windows Server 2008 的 服务 
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器 , 则 选择 “Windows Server 2008”; 如 果 网 络 中 有 Windows 2003 的 服务 器 , 则 选择 “Windows 2003”; 
如 果 网 络 中 有 Windows 2000 的 服务 器 ， 则 选择 “Windows 2000”。 如 果 选 择 的 是 Windows 2000 
或 Windows Server 2003、Windows Server 2008, 当 网 络 中 的 服务 器 全 部 升级 到 Windows Server 2008 
R2 后, 可 以 将 “ 林 功 能 级 别 提升 到 Windows Server 2008 R2. 在 本 例 中 , 选择 Windows Server 2008 
R2， 如 图 7-7 所 示 。 


7-6 DNS 名 称 图 7-7 选择 林 功 能 级 别 


5) 在 “其 他 域 控制 器 选项 ”对 话 框 ， 选 中 “DNS 服务 器 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 
如 图 7-8 所 示 。 


7-8 安装 DNS 服务 器 


to8j 在 “数据 库 、 日 志文 件 和 SYSVOL 的 位 置 ”对 话 框 中 ， 指 定数 据 库 、 日 志文 件 、 文 件 来 
对 话 框 ， 通 常 选 择 默认 值 即 可 。 

0g 在 “目录 服务 还 原 模式 的 Administrator 密码 ”对 话 框 中 ， 设 置 目录 服务 还 原 模式 密码 如 
图 7-9 所 示 。 该 密码 不 同 于 管理 员 的 密码 ， 在 使 用 目录 服务 还 原 模式 时 必须 输入 。 

8 在 “摘要 ”对 话 框 中 ， 检 查 相关 设置 是 否 正确 ， 如 图 7-10 所 示 。 确定 设置 无 误 后 ， 单 击 
“下 一 步 ”按钮 ， 将 开始 Active Directory 服务 的 安装 ， 如 图 7-11 所 示 。 

iog 安装 完成 之 后 , 显示 如 图 7-12 所 示 . 单 击 “ 完 成 ” 按钮 , 根据 系统 提示 重新 启动 Windows 
Server 2008 计算 机 ， 完 成 Active Directory 的 安装 。 
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目录 最 入 还 抽 式 的 hni>istreter 志和 Ea 二 
ttt 
Ea eeeeeeee 
NE eeeeeeee | 
关于 目 好 和 开 原 查 让 友和 信 和 
要 更 孜 运 基 ,和 击 "上 一 步 ” 要 开 入 提 作 ， 音 机 "下 一步 "~ 
人 出 次 要 中 
a 
wa | mm | 
7-9 设置 目录 服务 还 原 模式 密码 7-10 “摘要 ”对 话 框 


下 要 区 站 此 癌 导 ， 请 单机 “ 完 矶 "， 


CE- 而 下 
7-11 安装 Active Directory 7-12 ”安装 完成 


7.3 域 用 户 与 域 用 户 组 管理 


计算 机 是 模拟 现实 生活 的 电子 设备 ， 同 样 的 ， 联 网 的 计算 机 也 是 在 模拟 客观 世界 人 与 人 之 间 
的 关系 与 交往 。 在 现实 世界 中 ， 人 人 都 有 一 个 身份 ， 每 个 人 的 身份 决定 了 他 的 工作 与 职权 范围 。 而 
在 计算 机 网 络 ， 也 有 一 个 代表 “身份 ”的 名 称 ， 称 为 “用 户 ”。 用户 的 权限 不 同 ， 决 定 了 用 户 对 计 
算 机 及 网 络 控制 的 能 力 与 范围 也 各 不 相同 。 用 户 有 两 种 类 型 : 一 种 是 只 能 用 来 访问 本 地 计算 机 (或 
使 用 远程 计算 机 访问 本 计算 机 》 的 “本 地 用 户 账户 ”， 另 一 种 是 可 以 访问 网 络 中 所 有 计算 机 的 “ 域 
用 户 账户 ”。 


7.3.1 命名 惯例 


在 企业 网 络 中 ， 使 用 计算 机 的 每 个 人 都 应 该 有 一 个 用 户 账 户 ， 用 户 通过 他 们 自己 的 账户 可 以 
使 用 企业 网 络 中 指定 的 资源 ， 完 成 与 其 相对 应 的 任务 。 除 了 每 个 人 有 一 个 用 户 账户 外 ,还 可 能 有 为 
此 用 户 提供 的 一 些 对 应 服务 ， 如 企业 电子 邮件 服务 、 企 业 办 公 自 动 化 的 登录 账户 等 。 所 以 ， 通 常情 
况 下 都 是 使 用 统一 的 方式 进行 命名 ， 以 便于 计算 机 的 使 用 者 记 住 自己 的 用 户 名 。 另 外 ,通常 用 户 名 
还 与 企业 为 其 提供 的 电子 邮件 相对 应 (如 用 户 名 为 zzs， 企 业 电 子 邮 件 是 zs@heinfo.local》。 
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命名 习惯 通常 如 下 : 


e@ 对 于 计算 机 来 说 ， 如 果 计 算 机 是 专属 于 某 一 个 人 使 用 ， 则 以 这 个 人 的 名 字 命 名 计算 机 ， 如 
果 计 算 机 是 几 个 人 来 共用 ， 则 以 科室 的 名 称 命名 ， 如 果 一 个 科室 中 有 多 台 计 算 机 ， 在 命名 
的 时 候 同 时 添加 序号 即 可 。 

e。 对 于 每 个 使 用 者 , 通常 都 是 使 用 其 “ 姓 ”的 全 称 +“ 名 ”的 简称 , 如 张 三 的 用 户 名 为 zhangs。 

e。 如 果 使 用 简称 之 后 有 “ 重 名 ”的 现象 ， 可 以 对 重 名 的 用 户 使 用 全 称 。 


7.3.2 ”密码 要 求 


在 以 前 的 Windows 2000 网 络 中 , 对 密码 是 没有 强度 要 求 的 , 用 户 可 以 根据 习惯 是 否 使 用 密码 ， 
也 可 以 根据 习惯 使 用 哪 种 密码 。 但 随 着 网 络 安全 被 越 来 越 重视 ，Windows Server 2008 网 络 对 密码 
有 了 新 要 求 。 用 户 不 仅 必 须 设置 和 使 用 自己 的 密码 ， 而 且 密码 要 符合 如 下 要 求 : 


e@ 不 能 包含 用 户 的 账户 名 ， 不 能 包含 用 户 姓 名 中 超过 两 个 连续 字符 的 部 分 。 
e@ 至 少 有 6 个 字符 长 。 
@ 包含 以 下 4 类 字符 中 的 3 类 字符 : 

> 英文 大 写字 母 (A~Z)。 

> 英文 小 写字 母 (a~z)。 

> 10 个 基本 数字 (0~9)。 

> 非 字母 字符 (例如 !、$、#、%)。 


在 更 改 或 创建 密码 时 执行 复杂 性 要 求 。 对 于 “本 地 用 户 账户 ”或 修改 了 Windows Server 2008 
默认 组 策略 的 计算 机 ， 其 用 户 密码 可 以 随意 设置 。 

将 计算 机 升级 到 Active Directory 服务 器 后 ， 原 来 的 “本 地 用 户 和 用 户 组 ”管理 工具 将 不 复 存 
在 , 而 改 用 “Active Directory 用 户 和 计算 机 ”进行 统一 的 管理 , 原来 的 “本 地 用 户 ”将 迁移 到 Active 
Directory 用 户 中 ， 并 具有 更 多 的 属性 。 

Active Directory 的 用 户 可 以 在 其 所 属 的 整个 网 络 或 与 其 建立 了 信任 关系 的 网 络 中 使 用 。 


7.3.3 ”创建 域 用 户 账户 
本 小 节 介绍 如 何 创建 域 用 户 账户 ， 操 作 步 骤 如 下 。 


和 以 管理 员 身 份 ( Administrator 账户 ) 登录 服务 器 ， 从 “管理 工具 ”中 打开 “Active Directory 
用 户 和 计算 机 ”控制 台 ， 如 图 7-13 所 示 。 在 “Active Directory 用 户 和 计算 机 ”中 的 heinfo.local ( 域 
名 ) 下 的 “Users” 中 保存 域 中 的 用 户 组 和 用 户 。 可 以 在 “Users” 中 创建 新 的 用 户 和 用 户 组 ， 也 可 
以 在 heinfo.local 域 下 面 创 建 OU ( 组织 单元 ) ， 再 在 OU 中 创建 用 户 或 用 户 组 。 

03 在 “Users” 右 侧 的 空白 窗 格 中 右 击 ， 或 者 选中 “Users” 右 击 ， 从 快捷 菜单 中 选择 “新 建 
一 用 户 ” 选 项 ， 打 开 “ 新 建 对 象 -用 户 ” 对 话 框 ， 如 图 7-14 所 示 。 在 “姓名 ”文本 框 输 入 要 创建 的 
用 户 名 如 ws01， 在 “用 户 登 录 名 ”文本 框 输入 ws01， 其 他 可 以 不 输入 。 
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图 7-13 ”Active Directory 用 户 和 计算 机 


ti 到 单 击 “下 一 步 ” 按钮， 显示 如 图 7-15 所 示 对 话 框 , 需要 设置 密码 与 基本 用 户 属性 对 话 框 。 
在 “密码 ”与 “确认 密码 ”文本 框 输入 新 密码 ( 注意， 用 户 密码 必须 符合 Windows 强 密码 的 要 求 ， 
详情 参见 “7.3.2 密码 要 求 ”的 内 容 ) ， 根 据 实际 情况 设置 用 户 的 登录 属性 ， 


图 7-14 创建 用 户 图 7-15 设置 密码 
i@ 约 单 击 “ 下 一 步 ”按钮 , 创建 用 户 完成 , 如 图 7-16 所 示 。 如 果 设 置 的 用 户 密码 符合 Windows 
要 求 ， 单 击 “ 完 成 ”按钮 后 将 会 返回 Active Directory 用 户 和 计算 机 ; 如 不 符合 要 求 ， 则 会 显示 如 
图 7-17 所 示 对 话 框 。 此 时 可 返回 并 重新 设置 符合 要 求 的 密码 ， 再 继续 创建 用 户 。 


ETFTEDII | 


图 7-16 创建 用 户 完成 图 7-17 密码 不 符合 要 求 
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7.3.4 ”设置 域 用 户 账户 的 属性 


域 用 户 账户 除了 具有 “本 地 用 户 账户 ”的 全 部 属性 外 ， 还 具有 一 些 其 他 的 属性 ， 如 用 户 的 地 
址 、 电 话 、 单 位 等 信息 ， 还 可 以 设置 用 户 的 登录 时 间 、 登 录 到 的 计算 机 等 信息 。 本 节 将 介绍 怎样 设 
置 用 户 的 登录 时 间 和 登录 到 的 计算 机 。 


1. 设置 登录 时 间 
接 入 | 3 | 会 活 | ‘CoN 
如 果 要 设置 账户 的 登录 时 间 ， 可 以 按照 如 下 的 步骤 操作 。 和 
人 ee 


0 选择 欲 设置 登录 时 间 的 用 户 ， 右 击 并 选择 快捷 菜单 中 的 
“属性 ”选项 ， 打 开 用 户 属性 对 话 框 ， 如 图 7-18 所 示 。 

it0g 选择 “账户 ”选项 卡 ， 单 击 “登录 时 间 ” 按 钮 ， 打 开 登 
录 时 间 设 置 对 话 框 ， 如 图 7-19 所 示 。 默 认 人 允许 登 录 时 间 是 全 部 。 
可 以 设置 的 登录 时 间 是 按 星 期 一 到 星期 日 、 每 天 24 个 小 时 ， 每 小 
时 一 个 设置 区 间 来 划分 的 。 用 鼠标 选中 区 域 ， 选 中 “允许 登录 ”或 
“拒绝 登录 ” 单 选 按钮 即 可 设置 为 允许 或 拒绝 登录 。 如 图 7-20 所 
示 为 设置 每 星期 一 到 星期 五 的 8:00~18:00 和 星期 六 的 18:00~24:00 图 7-18 用 户 属性 对 话 框 
允许 登录 ， 其 他 时 间 则 不 允许 。 


et 
Et 2 


是“ 2 
三 拒 引 登录 四 ) 


| 
时 时 外 ao0 直到 mo 点 


rp 
图 7-19 登录 时 间 设置 图 7-20 登录 时 间 
to 设置 完成 后 单 击 “ 确 定 ”按钮 返回 。 
2. 设置 登录 到 的 计算 机 
如 果 指 定 账户 ， 在 指定 的 计算 机 登录 ， 可 以 按照 如 下 方式 设置 。 


0 和 在 用 户 属性 对 话 框 的 “账户 ”选项 卡 中 ， 单 击 “ 登 录 到 ”按钮 (参考 图 7-18 所 示 ) ， 显 
示 “ 登 录 工 作 站 ”对 话 框 ， 如 图 7-21 所 示 。 默 认 选 中 “所 有 计算 机 ” 单 选 按钮 ， 允 许 该 用 户 登录 
到 所 有 计算 机 。 
0 有 2 如 果 要 设置 允许 登录 的 计算 机 ， 可 选中 “下 列 计 算 机 ” 单 选 按钮 ， 在 “计算 机 名 称 ” 文 
本 框 输入 允许 此 用 户 登 录 到 的 计算 机 名 ， 单 击 “ 添 加 ”按钮 添加 到 列表 中 即 可 。 可 以 在 列表 中 添加 
人 台 计 算 机 ， 如 图 7-22 所 示 。 
i03 单 击 “ 确 定 ” 按 钮 保存 设置 并 返回 。 
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图 7-21 登录 到 计算 机 图 7-22 添加 计算 机 
7.3.5 ”其 他 操作 


在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 选 中 一 个 用 户 ， 右 击 ， 将 显示 快捷 菜单 ， 如 
图 7-23 所 示 ， 可 以 完成 添加 到 组 、 禁 用 账户 、 重 置 密码 、 移 动 、 复 制 、 打 开 主 页 、 发 送 邮 件 、 删 
除 和 重 命名 等 操作 。 


(1) 添加 到 组 
如 果 在 快捷 菜单 中 选择 “添加 到 组 ”命令 ， 将 显示 如 图 7-24 所 示 “ 选 择 组 ”对 话 框 ， 可 以 将 
用 户 添加 到 其 他 用 户 组 中 。 
(2) 禁用 账户 
如 果 在 快捷 菜单 中 选择 “禁用 账户 ”命令 ， 将 会 禁用 此 账户 登录 。 
(3) 重 置 密码 
在 快捷 菜单 中 选择 “ 重 置 密码 ”命令 ， 可 以 重新 设置 用 户 的 密码 ， 如 图 7-25 所 示 。 


图 7-24 将 用 户 添加 到 组 图 7-25 重 置 密 码 
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(4) 移动 
在 快捷 菜单 中 选择 “移动 ”命令 ， 可 以 把 用 户 移动 到 另 一 个 组 中 ， 如 图 7-26 所 示 。 
(5) 复制 


如 果 在 快捷 菜单 中 选择 “复制 ”命令 ， 显 示 如 图 7-27 所 示 “ 复 制 对 象 -用 户 ” 对 话 框 。 输 入 新 
用 户 的 信息 〈 用 户 名 、 登 录 名 ) ， 单 击 “ 下 一 步 ” 按 钮 ， 显 示 设 置 密码 对 话 框 ， 设 置 密码 之 后 ， 复 
制 用 户 完 成 。 系 统 将 创建 一 个 与 选择 用 户 的 属性 相同 的 用 户 。 


[ 1 0] | 
图 7-26 移动 对 象 图 7-27 复制 用 户 


复制 的 用 户 具有 与 被 复制 用 户 相 同 的 权限 及 所 属 用 户 组 。 

(6) 打开 主页 或 发 送 邮 件 

如 果 选 择 快捷 菜单 中 的 “打开 主页 ”命令 ， 将 会 打开 用 户 的 主页 。 选 择 快 捷 菜单 中 的 “发 送 
邮件 ”命令 ， 将 会 向 此 用 户 发 送 邮件 。 使 用 这 两 项 的 前 提 是 : 已 经 在 用 户 的 属性 中 进行 了 相应 的 
设置 。 

(7) 删除 

选择 快捷 菜单 中 的 “删除 ”命令 ， 将 删除 所 选择 的 用 户 。 

(8) 重 命名 

选择 快捷 菜单 中 的 “ 重 命名 ”命令 ， 可 以 更 改 被 选择 用 户 的 显示 名 称 。 


7.3.6 创建 域 用 户 组 


在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 选 择 “Users”， 在 右 侧 的 空白 窗 格 中 右 击 ， 显 
示 如 图 7-28 所 示 的 快捷 菜单 ， 选 择 “ 新 建 一 组 ”命令 ， 显 示 新 建 用 户 组 对 话 框 ， 如 图 7-29 所 示 。 


图 7-28 新 建 组 图 7-29 新建 用 户 组 


:238% 


Active Directory 网 络 管理 第 7 章 


在 “组 名 ”及 “组 名 (Windows 2000 以 前 版 本 ) ”文本 框 中 输入 组 名 ， 从 “组 作用 域 ” 和 “组 
类 型 ”选项 区 域 中 选择 合适 的 类 型 ， 单 击 “ 确 定 ”按钮 即 完成 用 户 组 的 创建 。 


7.4 OU 的 规划 


包含 在 域 中 的 特别 有 用 的 目录 对 象 类 型 就 是 组 织 单位 (OU) 。 组 织 单位 是 一 种 Active Directory 
容器 ， 可 以 将 用 户 、 组 、 计 算 机 和 其 他 组 织 单位 放 入 其 中 ， 但 不 能 容纳 来 自 其 他 域 的 对 象 。 组 织 单 
位 可 以 指派 组 策略 设置 , 或 者 委派 管理 权限 。 组 织 单位 代表 了 域 的 逻辑 层次 结构 ,根据 组 织 的 模型 
管理 账户 和 资源 的 配置 以 及 使 用 。 不 过 ， 不 推荐 在 “Users 容器 ”中 创建 用 户 和 用 户 组 ， 在 域 中 创 
建 组 织 单位 并 添加 用 户 较 好 。 


7.4.1 创建 OU 


打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 选 择 当前 的 域 ， 如 图 7-30 所 示 ， 用 鼠标 右 击 ， 
从 快捷 菜单 中 选择 “新 建 一 组 织 单位 ”命令 ， 显 示 新 建 组 织 单位 对 话 框 ， 如 图 7-31 所 示 。 输 入 组 
织 的 单位 名 称 〈 本 例 为 “信息 技术 学 院 ”) ， 单 击 “ 确 定 ” 按 钮 完成 创建 。 


7-30 在 域 中 新 建 OU 图 7-31 设置 OU 名 称 


选择 新 建 的 组 织 单位 ， 在 右 侧 的 空白 窗 格 中 右 击 ， 可 以 在 组 织 单位 中 继续 创建 子 组 织 单位 ， 
如 图 7-32、 图 7-33 所 示 。 


7-32 ”新 建 子 OU 7-33 ”创建 子 OU 
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按照 企业 结构 创建 完 组 织 单位 后 ， 就 可 以 将 以 前 创建 的 用 户 “ 移 动 ”到 其 相应 的 组 织 单位 中 
以 利于 管理 。Windows Server 2008 正 是 依靠 组 织 单位 及 组 策略 ， 才 能 实现 许多 “自动 化 ”的 高 级 
管理 功能 。 


7.4.2 ”创建 大 量 用 户 的 方法 


作为 管理 员 ， 一 个 基本 的 任务 就 是 “创建 用 户 ”。 虽 然 创建 用 户 的 步骤 很 简单 ， 但 如 果 需 要 创建 几 
十 个 、 几 百 个 甚至 上 千 个 用 户 时 ， 就 会 非常 麻烦 了 。 在 本 小 节 中 ， 将 介绍 批量 创建 用 户 的 方法 。NET 
是 一 个 很 常用 的 网 络 命令 ， 使 用 NET USER 命令 就 可 以 创建 大 量 用 户 。NET USER 命令 的 语法 如 下 : 


NET USER 
[username [password | *] [options]] [DOMAIN] 
username {password | *} /ADD [options] [DOMAIN] 
username [IDELETE] [DOMAIN] 
语法 意义 如 下 : 
NET USER : 用 于 创建 和 修改 计算 机 上 的 用 户 账户 。 当 不 带 选 项 使 用 本 命令 时 ， 它 会 列 出 计 
算 机 上 的 用 户 账户 。 


@ ”username : 指 需 要 进行 添加 、 删 除 、 修 改 或 者 浏览 的 用 户 账户 的 名 字 。 用 户 账户 的 名 字 不 
能 超过 20 个 字符 。 

e@ password : 分 配 或 改变 用 户 账户 的 密码 。 密 码 必须 满足 NET ACCOUNTS 命令 的 
/MINPWLEN 选项 指定 的 最 小 长 度 的 要 求 。 它 至 多 可 以 具有 14 个 字符 。 * 表示 提示 输 
入 密码 。 当 用 户 在 密码 提示 符 下 输入 时 ， 密 码 是 不 会 显示 的 。 

e。 /DOMAIN: 在 当前 域 的 主 域 控 制 器 上 执行 操作 。 

e@ /ADD: ”将 用 户 账户 添加 到 用 户 账户 数据 库 中 。 

e@ /DELETE: 从 用 户 账户 数据 库 中 删除 用 户 账户 。 


Options 选项 如 下 所 示 : 

/ACTIVE:{YES | NO} 激活 或 停 用 账户 。 如 果 账 户 处 于 停 用 状态 ， 用 户 就 不 能 访问 该 服务 器 。 
该 选项 的 默认 值 是 YES。 

/COMMENT:"text" 提供 关于 用 户 账户 的 一 个 描述 性 注释 。 需 要 将 文本 括 在 引号 中 。 

/COUNTRYCODE:nnn 使 用 操作 系统 的 国家 /地 区 代码 ， 来 实施 用 户 的 帮助 和 错误 消息 的 特定 
语言 文件 。0 表示 默认 的 国家 /地 区 代码 。 

/EXPIRES:{date | NEVER} 如 果 日 期 被 设置 ， 就 会 引起 账户 过 期 。 设 置 为 NEVER， 对 账户 就 
没有 时 间 上 的 限制 。 根 据 国家 /地 区 代码 的 不 同 ， 有 效 日 期 的 格式 可 以 是 月 /日 /年 或 日 /月 /年 。 月 可 
以 是 一 个 数字 ， 拼 写 完整 的 或 三 个 字母 的 缩写 。 年 可 以 是 两 位 或 四 位 数字 。 使 用 斜 线 (/) (没有 
空格 ) 来 分 隔日 期 的 各 个 部 分 。 

下 ULLNAME:"name" 是 一 个 用 户 的 完整 名 字 〈 而 不 是 用 户 名 ) 。 需 要 把 名 字 用 引号 括 起 来 。 

/HOMEDIR:pathname 设置 用 户 的 主 目录 的 路 径 。 路 径 必 须 已 经 存在 。 

/PASSWORDCHG:{YES | NO} 指定 用 户 是 否 可 以 改变 自己 的 密码 。 其 默认 值 是 YES。 

/PASSWORDREQ:{YES | NO} 指定 用 户 的 账户 是 否 必须 具有 密码 。 其 默认 值 是 YES。 
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/PROFILEPATHI[:path] 为 用 户 的 登录 配置 文件 设置 路 径 。 

/SCRIPTPATH:pathname 指 用 户 的 登录 文件 所 在 的 位 置 。 

/TIMES: {times | ALL} 指 用 户 可 以 登录 的 时 间 。TIMES 的 表达 方式 是 day[-day][，day[-day]]， 
time[-time][，time[-time]]， 增 量 限制 在 1 小 时 。 天 可 以 是 全 部 拼写 或 缩写 。 小 时 可 以 是 12 小 时 
或 24 小 时 制 。 对 于 12 小 时 制 ， 可 以 使 用 AM，PM。ALL 表示 用 户 总 是 可 以 登录 。 空 值 表示 用 
户 永 远 不 能 登录 。 可 以 使 用 逗号 分 隔 天 和 时 间 项 ， 并 用 分 号 分 隔 多 个 天 和 时 间 项 。 

/USERCOMMENT:"text" 让 管理 人 员 添 加 或 改变 账户 的 用 户 注 释 。 

/WORKSTATIONS: {computername[，.…] | *} 列 出 至 多 8 台 用 户 可 以 登录 到 网 络 上 的 计算 机 。 
如 果 /WORKSTATIONS 没有 列表 或 列表 是 *， 用 户 就 可 以 从 任何 一 台 计 算 机 上 登录 。 

NET HELP command | MORE 用 于 逐 屏 显 示 帮 助 。 


该 命令 必须 注意 空格 的 使 用 。 各 个 参数 之 间 ( username 也 是 一 个 参数 ) 要 有 空格 ; 同一 个 参数 内 ， 


不 能 用 空格 隔断 ， 除 非 空 格 在 引号 内 。 


如 果 要 在 没有 升级 到 域 控制 器 的 Windows Server 2008、Windows 7、Windows Server 2003、 
Windows XP 中 创建 3 个 用 户 ， 最 简单 的 方法 是 创建 如 下 的 批 处 理 文 件 : 
net user W11 /add 


Det User ab2 /add 
net user ce3 /add 


然后 运行 这 个 批 处 理 文件 ， 将 创建 3 个 用 户 。 
如 果 要 在 域 控制 器 上 ， 使 用 net user 命令 创建 用 户 ， 则 需要 为 用 户 指定 密码 ， 例 如 ， 在 下 面 的 
例子 中 ， 将 创建 wsl1 一 ws133 个 用 户 、 设 置 用 户 密码 为 alb2c3D4: 


net user Ws11 alb2c3D4 /add /domain 
net user ws12 alb2c3D4 /add /domain 
net user Ws13 alb2c3D4 /add /domain 
执行 命令 的 结果 如 图 7-34 所 示 。 
在 使 用 net user 创建 命令 之 后 ， 返 回 到 “Active Directory 用 户 和 计算 机 ”窗口 , 在 “Users” 组 
织 单位 中 ， 选 中 创建 的 用 户 ， 并 “移动 ”到 合适 的 OU 中 即 可 ， 如 图 7-35 所 示 。 


Er 7 
本 


net uaer vell alb2e3D4 /add vdnnadn 


图 7-34 ”使 用 net user 创建 用 户 
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7.5 将 Windows 计算 机 加 入 到 Active Directory 


只 有 将 计算 机 加 入 到 域 之 后 ， 才 能 使 用 Active Directory 进行 统一 管理 。 通 常 来 说 ， 并 不 是 所 
有 的 Windows 操作 系统 都 可 以 加 入 到 Active Directory ( 域 )， 只 有 以 下 版 本 的 Windows 才 可 以 将 
计算 机 加 入 到 域 : 


@ Windows 2000 : Professional (专业 版 ) 、Server (服务 器 版 ) 、Advanced Server (高 级 服 
务 器 版 ) 。 

e。 Windows XP: Professional ( 专业 版 ) 。 

e@ Windows Vista: Business ( 商业 版 ) 、Enterprise (企业 版 ) 、Ultimate ( 旗舰 版 ) 。 

@ Windows 7: Professional ( 专业 版 ) 、Enterprise (企业 版 ) 、Ultimate (旗舰 版 )。 

@ Windows 2003、Windows Server 2008、Windows Server 2008 R2: 除 Web 版 以 外 的 所 有 
版 本 。 


通常 来 说 , Windows Server 2003 服务 器 操作 系统 对 应 的 客户 端 是 Windows XP, Windows Server 
2008 对 应 的 客户 端 是 Vista，Windows Server 2008 R2 对 应 的 客户 端 是 Windows 7。 但 这 些 并 没有 
非常 严格 的 限制 ， 通 常 来 说 ， 在 Windows 网 络 中 ， 可 以 使 用 高 版 本 的 工作 站 操作 系统 加 入 到 低 版 
本 服务 器 的 操作 系统 中 ， 但 可 能 有 些 “ 高 级 功能 ”不 被 支持 。 

在 将 工作 站 加 入 到 域 的 过 程 中 ，Windows XP 的 操作 与 Windows 2000、Windows Server 2003 
类 似 ，Windows 7 的 操作 与 Windows Vista、Windows Server 2008、Windows Server 2008 R2 类 似 。 
所 以 将 以 Windows XP、Windows 7 这 两 个 版 本 为 例 进行 介绍 。 


请 使 用 Virtual PC 2007 创建 两 全 虚拟 机 ， 分 别 安装 Windows XP Professional 与 Windows 7 旗舰 版 ， 
并 且 与 Windows 2008 使 用 相同 的 虚拟 网 卡 ( 例如 都 使 用 “内 部 网 络 ”或 “NAT 网 络 ” ) 。 


7.5.1 将 Windows XP 计算 机 添加 到 域 
首先 以 Windows XP Professional 为 例 ， 添 加 到 域 的 步骤 如 下 。 


to 出 以 本 地 管理 员 账 户 登录 计算 机 ， 修 改 每 一 台 工 作 站 的 DNS 地 址 ， 将 其 设 为 Active 
Directory 域 控制 器 的 卫 地 址 , 在 本 例 中 , 设置 Windows XP 的 工作 站 的 他 地 址 为 172.30.5.31, DNS 
为 172.30.5.15， 如 图 7-36 所 示 。 

四 2 在 加 入 到 域 之 后 ， 最 好 是 修改 工作 站 的 计算 机 名 称 ， 在 修改 计算 机 名 称 之 后 ， 重 新 启动 
计算 机 ， 例 如， 在 本 例 中 ,修改 工 作 站 的 计算 机 名 称 为 XP-WS， 如 图 7-37 所 示 。 

iO3j 再 次 进入 Windows XP 后 ， 右 击 “ 我 的 电脑 ”图 标 ， 从 快捷 菜单 中 选择 “属性 ”选项 ， 
显示 “系统 属性 ”对 话 框 。 选 择 “ 计 算 机 名 ”选项 卡 ， 在 “计算 机 名 ”选项 卡 中 单 击 “ 更 改 ” 按 钮 ， 
显示 “计算 机 名 称 更 改 ” 对 话 框 。 在 “隶属 于 ”选项 组 中 选中 “ 域 ” 单 选 按 钮 ， 输 入 域名 ( 本 例 
中 为 heinfo.local ) ， 如 图 7-38 所 示 。 
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图 7-38 ”输入 域名 

to 级 单 击 “ 确 定 ” 按 钮 显示 登录 对 话 框 ， 输 入 域 用 户 管理 员 或 委派 的 具有 将 计算 机 添加 到 
域 权限 的 用 户 名 和 密码 , 在 此 先 输入 域 管理 员 账户 administrator 及 域 管理 员 密 码 ( 如 图 7-39 所 示 )， 
在 以 后 的 章节 中 ， 我 们 将 介绍 怎样 “委派 ”普通 用 户 具 有 “将 计算 机 加 入 到 域 ”的 权限 。 

I05) 单 击 “ 确 定 ” 按 钮 ， 加 入 域 成 功 ， 提 示 “ 欢 迎 加 入 heinfo.local 域 ”， 如 图 7-40 所 示 。 


计算 机 名 更 改 加 


计算 机 名 更 改 区 


2 欢迎 加 入 heinfe local 域 。 


Ce 


图 7-39 输入 与 用 户 名 和 密码 
加 入 到 域 之 后 ， 根 据 提示 ， 重 新 启动 计算 机 。 


7-40 ”加 入 域 成 功 


06| 以 后 再 登录 Windows XP 时 ， 在 “登录 到 ”后 面 选择 HEINFO 域 ， 输 入 域 用 户 名 、 密 码 
即 可 登录 ， 如 图 7-41 所 示 。 在 本 例 中 ， 输 入 域 管理 员 账 户 、 密 码 ， 登 录 到 Windows XP。 
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稍 后 会 介绍 怎样 用 “ 域 普通 账户 ”登录 到 Windows XP。 


7.5.2 ”将 用 户 添加 到 本 地 管理 员 组 


默认 情况 下 ， 普 通 域 用 户 不 能 在 其 所 登录 的 计算 机 上 安装 
软件 。 不 过 ， 只 要 将 计算 机 使 用 者 的 “ 域 用 户 名 ”添加 到 当前 
计算 机 的 “本 地 管理 员 组 ”就 可 以 了 。 通 常 来 说 ， 将 普通 域 用 
户 添加 到 “本 地 管理 员 ” 组 ， 有 以 下 两 种 方法 : 


@ 由 管理 员 在 服务 器 上 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 从 “Computer” 组 中 选 
中 用 户 的 计算 机 ， 在 快捷 菜单 中 选择 “管理 ”命令 ， 打 开工 作 站 的 “计算 机 管理 ”窗口 ， 
即 可 从 “本 地 用 户 和 组 ”中 添加 。 
@ ”使 用 域 管 理 员 登录 到 工作 站 ， 打 开 “ 计 算 机 管理 ”一 “本 地 用 户 和 组 ”进行 添加 。 
这 两 种 方法 都 需要 使 用 者 有 域 管理 员 权限 , 通常 情况 下 由 管理 员 进行 操作 。 下 面 详细 介绍 这 两 
种 方法 。 
1. 在 域 服务 器 上 添加 


在 Windows Server 2008 服务 器 中 ， 管 理工 作 站 ， 将 域 用 户 添 加 到 工作 站 的 “本 地 管理 员 组 ” 
的 操作 步骤 如 下 。 


0 和 在 Windows Server 2008 服务 器 中 ， 以 管理 员 身份 登录 ， 打 开 “ 服 务 器 管理 器 ”， 在 左 侧 
任务 窗 格 中 定位 到 “角色 一 勾 选 Directory 域 服务 一 Active Directory 用 户 和 计算 机 ”， 或 者 在 “ 管 
理工 具 ” 中 打开 “Active Directory 用 户 和 计算 机 ”管理 单元 ， 都 可 以 实现 相同 的 功能 。 

在 “Active Directory 用 户 和 计算 机 ”管理 单元 中 ， 在 左 侧 选择 “Computers”， 在 右 侧 窗口 列 
出 所 有 加 入 域 的 计算 机 ， 选 中 要 管理 的 计算 机 ， 使 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “管理 ” 
选项 ， 如 图 7-42 所 示 。 


图 7-41 以 域 管理 员 账 户 登 录 


图 7-42 管理 计算 机 


02 如 果 出 现 “ 无 法 管理 计算 机 .…..” 的 提示 (如 图 7-43 所 示 ) ， 请 切换 到 Windows XP 的 
计算 机 ， 关 闭 Windows XP 的 防火 墙 设置 (如 图 7-44 所 示 ) ， 或 者 在 “例外 ”选项 卡 中 选中 “ 文 
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件 和 打印 共享 ” 复 选 框 即 可 。 然 后 再 返回 到 步骤 1 重新 操作 。 
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图 7-43 无 法 连接 到 工作 站 进行 管理 图 7-44 关闭 工作 站 的 防火 墙 


03) 重复 步骤 1 之后， 打开 工作 站 的 “计算 机 管理 ”对 话 框 ， 定 位 到 “本 地 用 户 和 组 一 组 ”， 
在 右 侧 用 鼠标 右 击 “Administrators”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 如 图 7-45 所 示 。 

to 约 打开 “Administrators 属性 ”对 话 框 ， 在“ 成员 ”列表 中 可 以 看 到 ， 当 前 管理 员 组 中 的 账 
户 分 别 是 “HEINFO\Domain Admins” ( 这 是 heinfo 域 的 管理 员 组 ) 、“XP-WSAdministrator” (这 
是 名 为 XP-WS 计算 机 名 的 计算 机 中 的 本 地 管理 员 账 户 ) 、“XP-WSNLN” (这 是 XP-WS 计算 机 的 
另 一 个 本 地 管理 员 账 户 ) 。 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “选择 用 户 、 计 算 机 或 组 ”对 话 框 中 ， 在 
“输入 对 象 名 称 来 选择 ”文本 框 中 ， 输 入 要 添加 的 域 用 户 或 域 用 户 组 ， 在 此 输入 domain users 表示 
域 中 所 有 用 户 ) ， 然 后 单 击 两 次 “确定 ”按钮 ， 完 成 添加 ， 如 图 7-46 所 示 。 
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图 7-45 Administrators 组 属性 图 7-46 添加 域 用 户 组 


在 实际 的 网 络 管理 中 ， 应 该 在 “本 地 管理 员 组 ”中 ， 添 加 使 用 计算 机 的 所 有 的 域 用 户 账户 账户 ， 而 
不 是 添加 Domain Users 域 用 户 组 。 在 做 实验 时 ， 为 了 省 事 ， 可 以 这 样 做 。 


2. 在 本 地 计算 机 上 添加 


对 于 计算 机 的 使 用 者 ， 他 们 在 将 自己 的 Windows XP (或 Windows Vista、Windows 7) 等 工作 
站 加 入 到 域 之 后 ， 可 以 使 用 自己 的 “本 地 管理 员 账 户 账户 ”登录 ， 完 成 将 “ 域 用 户 账户 或 域 用 户 账 
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户 组 ”添加 到 “本 地 管理 员 组 ”的 工作 ， 主 要 步骤 如 下 。 


0 和 用 管理 员 账 户 登 录 工 作 站 , 将 计算 机 添加 到 Active Directory 并 重新 启动 .启动 后 使 用 “本 
地 管理 员 账户 ”登录 到 本 机 。 

tQ3 用 鼠标 右键 单 击 “ 我 的 电脑 ”， 从 快捷 菜单 中 选择 “管理 ”选项 ， 显 示 “ 计 算 机 管理 ” 
对 话 框 。 依 次 选择 “系统 工具 一 本 地 用 户 和 组 一 组 ”， 如 图 7-47 所 示 。 

to3 在 窗口 右 侧 双击 Administrators 打开 “Administrators 属性 ”对 话 框 ， 单 击 “ 添 加 ”按钮 ， 
添加 域 用 户 账户 ， 如 图 7-48 所 示 。 
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a 


图 7-47 计算 机 管理 对 话 框 图 7-48 ”添加 域 用 户 账户 


在 实际 的 添加 工作 中 ,会 弹出 “输入 用 户 名 或 密码 ”的 提示 ， 此 时 ,输入 自己 的 域 用 户 账户 及 
密码 即 可 (由 管理 员 分 配 )， 如 果 是 做 实验 ， 可 以 使 用 域 管理 员 账 户 或 密码 ， 或 者 采用 前 面 创 建 的 
名 为 ws01 的 用 户 名 及 密码 。 


io 绚 单 击 “ 确 定 ” 按 钮 ， 将 域 用 户 加 入 管理 员 组 成 功 。 注 销 当 前 用 户 ， 并 重新 登录 到 域 即 可 。 
7.5.3 将 Windows 7 计算 机 添加 到 域 
将 Windows 7 加 入 到 域 的 步骤 ， 与 Windows XP 类 似 ， 主 要 操作 如 下 。 


0 和 修改 Windows 7 的 计算 机 名 称 ， 如 图 7-49 所 示 。 设置 也 地 址 与 DNS， 如 图 7-50 所 示 。 
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7-50 ”设置 全 地 址 与 DNS 
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i@3 使 用 管理 员 账 户 登录 ， 将 计算 机 加 入 到 heinfo local 域 ， 在 弹出 “计算 机 名 / 域 更 改 ”对 话 
框 中 ， 输 入 域 管理 员 账 户 与 密码 ， 如 图 7-51 所 示 。 
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图 7-51 将 计算 机 加 入 到 域 
四 3 在 加 入 到 域 之 后 ， 先 不 要 重新 启动 计算 机 ， 定 位 到 “计算 机 管理 一 系统 工具 一 本 地 用 户 
和 组 一 组 ”， 在 右 侧 窗 格 ， 用 鼠标 右 击 Administrators， 在 弹出 的 对 话 框 中 选择 “添加 到 组 ”选项 ， 
如 图 7-52 所 示 。 


文 作 朋 ”我 个 和 查看 (V) 起 了 (| 
四 中 | 败 辐 | 日 忆 | 卓 园 


Fw 
前 SrIR ET Tr 
2 0 TT 上 
A 要 pinribuea Cow Mt DT CON 到 
要 Erert log Reese 。 天) + 下 Woh 和 
本 Guess DO 及 有 癌 千 太 5， 加 天桥 
dE ns i om 
Ba 本 Neverk Cena wgg me 
.a 要 Peromaoce Lal Este et 
a 拓 Perfcrmnencs Ment 。 此 加 拉 开本 以 人 于 4 到 让 邓 直下 
上 可 SN 归 power Users 全 nF. 习 F 和 宇 .生计 
要 Remote Deslcop Us- 比 朋 中 下 医生 了 生生 人 的 机 
要 Repicatnr 二 
要 User 防止 用 记 进 行 计 全 天 总 的 和 纹 王 者 的 更 驻 .但是 可 l/ 运 | 
4 到 ] 
ET 


7-52 ”添加 到 组 


O04 在 “Administrators 属性 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “选择 用 户 、 计 算 机 、 
服务 账户 或 组 ”对 话 框 中 , 在 “输入 对 象 名 称 来 选择 ”文本 框 中 , 输入 想 要 添加 的 域 用 户 账户 或 组 ， 
单 击 “ 检 查 名 称 ” 按 钮 ， 此 时 会 弹出 “输入 网 络 密码 ”对 话 框 ， 输 入 域 用 户 账户 (例如 前 面 章节 中 
创建 的 ws01 账户 ) ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 7-53 所 示 。 

四 5 添加 之 后 ， 关 闭 “ 计 算 机 管理 ”窗口 ， 然 后 重新 启动 Windows 7， 完 成 将 计算 机 加 入 到 
域 、 将 域 用 户 添加 到 本 地 管理 员 组 的 操作 。 
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图 7-53 添加 Domain Users 组 到 Administrators 组 


7.6 ”使 用 远程 管理 工具 管理 Active Directory 服务 器 


在 实际 的 网 络 中 ，Windows Server 2008 服务 器 会 放 在 机 房 中 ， 对 于 管理 员 来 说 ， 需 要 经 常 登 
录 服 务 器 进行 管理 ， 例 如 创建 账户 、 修 改 共享 文件 夹 、 使 用 服务 器 的 其 他 服务 〈 例 如 管理 WSUS、 
管理 证 书 服务 、 管 理 IS 等 ) 。 对 于 管理 员 来 说 ， 不 可 能 每 次 都 去 机 房 、 到 服务 器 前 去 执行 管理 操 
作 。 通 常 来 说 ， 管 理 员 管 理 Windows 服务 器 有 两 种 方法 : 

(1) 使 用 远程 桌面 管理 工具 ， 例 如 使 用 “远程 桌面 ”或 其 他 远程 管理 工具 ， 例 如 TeamView、 
WinVNC 等 。 

(2) 使 用 远程 管理 工具 。 在 Windows Server 2003 的 时 代 ， 通 常 采用 Active Directory 管理 工 
具 +MMC 管理 控制 台 的 方式 。 而 在 Windows Server 2008 的 时 代 ， 通 常 使 用 “远程 管理 工具 ”管理 
服务 器 。 

使 用 “远程 桌面 ”， 只 要 在 “服务 器 ”一 端 启用 “远程 桌面 ”或 安装 终端 服务 器 ， 在 工作 站 
使 用 “远程 桌面 ”就 可 以 连接 并 登录 到 服务 器 进行 管理 。 如 果 使 用 “远程 管理 工具 ”， 需 要 在 加 入 
到 域 的 Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 中 ， 添 加 “ 远 
程 服务 器 管理 工具 ”才能 使 用 。 


7.6.1 添加 远程 服务 器 管理 工具 


如 果 工 作 站 是 Windows Server 2008、Windows Server 2008 R2 的 操作 系统 ， 可 以 在 “服务 器 管 
理 器 ”中 ， 通 过 “功能 一 添加 功能 ”命令 ， 在 “选择 功能 ”对 话 框 中 ， 在 “远程 服务 器 管理 工具 ” 
中 ， 选 择 并 添加 要 安装 的 服务 器 管理 工具 ， 例 如 Web 服务 器 (IIS) 管理 工具 、Active Directory 管 
理工 具 、DHCP 服务 器 管理 工具 、DNS 服务 器 管理 工具 、Hyper-V 工具 等 ， 如 图 7-54 所 示 。 

添加 之 后 ， 就 可 以 打开 “服务 器 管理 器 ”， 使 用 相应 的 服务 器 管理 工具 管理 远程 的 服务 器 了 。 
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图 7-54 添加 远程 服务 器 管理 工具 
7.6.2 在 Windows 7 中 安装 远程 服务 器 管理 工具 


在 Windows 7 、Windows 7 SP1 中 ， 没 有 集成 “远程 服务 器 管理 工具 ”， 需 要 从 以 下 地 址 
http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=7d2f6ad7-656b- 
4313-a005-4e344e43997d 下 载 用 于 Windows 7 SP1 的 远程 服务 器 管理 工具 。 下 载 之 后 ， 登 录 到 
Windows 7， 安 装 该 工具 ， 然 后 再 次 添加 ， 主 要 步骤 如 下 。 

W011 在 域 用 户 登 录 Windows 7， 如 图 7-55 所 示 。 

tO3 运行 下 载 的 Windows 7 SP1 远程 服务 器 管理 工具 ， 如 图 7-56 所 示 。 
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图 7-55 ”以 域 用 户 登 录 7-56 ”安装 远程 服务 器 管理 工具 


说 明 
Windows 7 远程 服务 器 管理 工具 仅 可 以 安装 在 运行 Windows 7 企业 版 、 专 业 版 或 旗舰 版 的 操作 系 
统 上 。 


i03 安装 完成 之 后 ， 从 “控制 面板 ”中 运行 “程序 和 功能 ”， 单 击 “打开 或 关闭 Windows 功 
能 ”链接 ， 如 图 7-57 所 示 。 
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0 在 “打开 或 关闭 Windows 功能 ”对 话 框 ， 在 “远程 服务 器 管理 工具 ”中 ， 根 据 需要 选择 
安装 ， 或 者 安装 全 部 的 功能 ， 如 图 7-58 所 示 。 


图 7-57 打开 或 关闭 Windows 功能 
安装 完成 之 后 ， 就 可 以 使 用 远程 管理 工具 管理 Active Directory 服务 器 了 。 


第 8 章 使 用 组 策略 管理 网 络 


组 策略 (Group Policy) 是 Windows 2000 Server、Windows Server 2003、Windows Server2008、 
Windows Server 2008 R2 域 网 络 的 重要 内 容 ， 可 以 对 Active Directory 中 的 工作 站 、 服 务 器 进行 集中 
和 统一 的 管理 。 使 用 组 策略 可 以 完成 终端 界面 (用 户 环境 ) 定制 、 终 端 软件 定制 、 软 件 自动 分 发 与 
自动 安装 等 一 系列 工作 , 可 以 极 大 的 减少 网 络 管理 员 与 使 用 者 的 操作 步骤 , 减轻 网 络 管理 员 和 用 户 
的 负担 。 


8.1 组 策略 应 用 基础 


“组 策略 ”是 Microsoft 从 Windows 2000 Server 开始 提供 的 功能 , 并 在 Windows Server 2008 R2 
中 继续 应 用 与 推广 。 使 用 “组 策略 ”， 可 以 管理 Microsoft Windows Server 2008 与 Windows Server 
2008 R2 家 族 中 包括 的 高 级 功能 ， 如 软件 安装 、 管 理 模板 、 文 件 夹 重 定向 、 远 程 安装 服务 、 安 全 设 
置 、 脚 本 (启动 /关机 和 登录 /注销 〉 以 及 Intemet Explorer 维护 。 
8.1.1 组 策略 概述 


“组 策略 ”可 以 完成 用 户 所 需要 的 软件 自动 安装 、 自 动 定制 用 户 环境 、 自 动 将 用 户 的 文件 夹 
重 定向 到 服务 器 等 一 系列 高 级 功能 ， 而 无 须 管理 员 和 用 户 单独 设置 。 功 能 详细 介绍 如 下 : 

(1) 完成 客户 端 软件 的 自动 安装 。 在 一 个 企业 网 络 中 ， 通 常 每 个 部 门 使 用 的 软件 是 不 尽 相同 
的 。 在 以 前 (如 NT) 的 网 络 中 ， 这 只 能 由 网 络 管理 员 给 每 一 台 计 算 机 按照 不 同 的 用 户 需求 安装 软 
件 。 在 应 用 组 策略 后 ， 每 个 用 户 需要 的 软件 在 第 一 次 使 用 时 自动 安装 ,用 户 只 须 做 极 少 的 设置 或 无 
须 设 置 即 可 完成 。 

(2) 将 用 户 的 习惯 设置 与 数据 “自动 ” 带 到 另 一 台 计 算 机 。 例 如 ， 用 户 A 先 在 计算 机 A 上 
工作 ， 然 后 由 于 工作 需求 ， 用 户 A 在 计算 机 A 上 注销 之 后 ， 马 上 就 到 了 计算 机 B 上 进行 工作 ， 此 
时 用 户 A 的 数据 与 习惯 设置 将 会 “自动 ” 带 到 计算 机 B 上 。 

(3) 应 用 程序 跟随 用 户 。 例如， 用 户 A 使 用 Office 2003， 在 用 户 A 的 计算 机 上 安装 的 Office 
2003; 用 户 B 使 用 WPS Office 2003， 在 用 户 B 的 计算 机 上 安装 的 就 是 WPS Office 2003。 如 果 用 
户 A 使 用 他 的 用 户 名 在 用 户 B 的 计算 机 上 登录 后 , 当 用 户 A 使 用 Office 2003 或 者 双击 Office System 
2003 的 数据 文档 ， 就 会 在 计算 机 B 上 安装 Office 2003， 这 一 切 都 是 自动 进行 的 。 

〈4) 为 用 户 定制 统一 的 工作 环境 。 当 第 一 次 使 用 加 入 到 域 的 Windows 操作 系统 (例如 Windows 
XP、Windows 7、Windows 2003、Windows Server 2008、Windows Server 2008 R2) 时 ， 用 户 都 要 
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对 系统 做 一 些 设置 ， 如 设置 正 、 设 置 桌面 等 ， 而 这 一 切 都 可 以 由 组 策略 来 定制 。 

(5) 灾难 恢复 更 加 容易 。 如 果 用 户 使 用 的 计算 机 突然 损坏 ， 如 硬盘 损坏 。 此 时 ， 只 要 换 一 块 
新 硬盘 到 原来 的 计算 机 中 ,或 者 把 坏 计算 机 蔡 换 ， 重 新 安装 一 台 全 新 的 计算 机 即 可 。 用 户 仅仅 是 按 
照 系 统管 理 员 的 提示 按 下 计算 机 键盘 上 的 一 个 键 , 或 者 用 一 张 特定 的 软盘 启动 计算 机 , 用 户 所 需要 
的 操作 系统 、 应 用 程序 及 用 户 的 数据 、 习 惯 设置 都 会 自动 恢复 。 

总 之 ， 应 用 组 策略 将 极 大 地 减轻 管理 员 和 用 户 的 负担 ， 同 时 为 用 户 提供 了 更 高 的 安全 性 及 更 
好 的 便利 性 。 


8.1.2 ”委派 用 户 权限 


想 要 实现 组 策略 ， 网 络 中 的 工作 站 (Windows 2000 Professional、Windows XP Professional、 
Windows 7) 必须 添加 到 Active Directory 域 中 , 而 且 只 有 管理 员 或 管理 员 委派 的 用 户 才 有 权 将 计算 
机 加 入 到 域 中 。 如 果 网 络 管理 员 将 计算 机 一 个 一 个 添加 到 域 中 , 则 比较 麻烦 ,通常 的 做 法 是 委派 域 
用 户 组 ， 让 所 有 的 域 用 户 具有 “将 计算 机 加 入 到 域 ”的 操作 ， 这 样 ， 对 于 每 个 用 户 来 说 ， 他 可 以 自 
己 完 成 将 计算 机 加 入 到 域 、 然 后 将 自己 的 域 用 户 添加 到 “本 地 管理 员 组 ”的 操作 。 要 想 实现 这 个 功 
能 ， 需 要 委派 “Domain Users” 组 具有 将 计算 机 加 入 到 域 的 权限 ， 主 要 步骤 如 下 。 


0 和 在 “服务 器 管理 器 ”中 定位 到 “角色 一 Active Directory 域 服务 一 Active Directory 用 户 和 
计算 机 ”， 或 者 从 “管理 工具 ”中 运行 “Active Directory 用 户 和 计算 机 ”， 右 击 域名 heinfo.local 
从 快捷 菜单 中 选择 “委派 控制 ”选项 ， 如 图 8-1 所 示 ， 启 动 “ 控 制 委派 向 导 ”。 

0g 在 “用 户 或 组 ”对 话 框 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 
在 “输入 对 象 名 称 来 选择 ”文本 框 中 输入 将 要 委派 的 用 户 或 用 户 组 名 , 在 本 例 中 输入 Domain Users， 
然后 单 击 “ 检 查 名 称 ” 按 钮 ， 随 后 单 击 “ 确 定 ”按钮 ， 如 图 8-2 所 示 。 
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图 8-1 委派 控制 图 8-2 ”添加 委派 用 户 和 用 户 组 

03j 在 “要 委派 的 任务 ”对 话 框 中 ， 选 中 “将 计算 机 加 入 到 域 ” 选 项 ， 如 图 8-3 所 示 。 

to 多 在 “完成 控制 委派 向 导 ” 对 话 框 ， 显 示 了 委派 的 任务 ， 单 击 “ 完 成 ”按钮 ， 如 图 8-4 所 
示 ， 完 成 委派 。 

经 过 上 述 操作 之 后 ， 每 个 域 用 户 都 具有 了 “将 计算 机 加 入 到 域 ” 的 权限 。 
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要 要 尖 的 作秀 完 
您 可 直 择 全 见 任务 或 自 定义 你 和 己 的 任务 和 完成 控制 委派 向 导 
4 
和 
F BRT DD): 


LE 习 
口 二 用 户 E 有 并 涪 请 在 下 多 各 重光 夫 码 
DO A 


的 结果 条 (iH | 
人 


大 ll 向 ,请 单 击 * 寺 成”。 


Te Ea ee EL 
图 8-3 ”委派 “将 计算 机 加 入 到 域 ”权限 图 8-4 ”完成 委派 任务 


我 们 知道 , 在 Active Directory 网 络 中 ，Administrator 及 加 入 到 Administrators、Domain Admins 
组 的 用 户 ， 具 有 管理 员 权限 ， 可 以 添加 、 删 除 用 户 、 修 改 用 户 密码 、 管 理 共享 等 。 在 实际 的 企业 网 
络 中 ， 尤 其 是 在 大 型 的 企业 网 络 中 ， 可 能 用 户 量 很 大 、 部 门 也 很 多 ， 这 个 时 候 ， 域 管理 员 可 以 将 一 
部 分 权限 ， 例 如 创建 用 户 、 修 改 用 户 密码 等 ， 委 派 给 每 个 部 门 中 的 “部 门 管理 员 ”。 这 样 可 以 减轻 
域 管理 员 的 负担 ， 并 且 可 以 提高 管理 的 效率 〈 添 加 用 户 、 修 改 密码 等 问题 可 以 直接 找 自己 的 “部 门 
管理 员 ”) 。 

在 下 面 的 内 容 中 ， 在 “信息 技术 学 院 ” 组 织 单位 中 ， 创 建 一 个 名 为 heinfo-admin 的 用 户 ， 并 且 
使 用 “委派 权限 ”的 方法 ， 委 派 heinfo-admin 具有 在 “信息 技术 学 院 ” 组 织 单位 中 创建 用 户 、 修 改 
密码 等 权限 〈 该 权限 限制 于 指定 的 组 织 单位 中 )， 操 作 步 骤 如 下 。 


0 在 “heinfo local\ 信 息 技术 学 院 ” 组 织 单位 中 创建 heinfo-admin 用 户 ， 如 图 8-5 所 示 。 
tQ3 右 击 “信息 技术 学 院 ” 组 织 单位 ， 在 弹出 的 快捷 菜单 中 选择 “委派 控制 ”选项 ， 如 图 8-6 
所 示 。 


文 怕 四 接 作 ) 查看。 帮助 0D 
中 者 口 | 里 局 S 过 目 癌 


有 区 IT 
作品 EE 


CE wo De 
图 8-5 创建 用 户 图 8-6 在 指定 OU 中 进行 委派 控制 
iQ3 在 “用 户 或 组 ”对 话 框 中 ， 单 击 “heinfo-admin” 用 户 ， 如 图 8-7 所 示 。 
t@ 特 在 “要 委派 的 任务 ”对 话 框 中 ， 根 据 需 要 运行 选择 ， 在 此 选中 前 6 项 ， 如 图 8-8 所 示 。 
tog 在 “完成 控制 委派 向 导 ” 对 话 框 中 ， 单 击 “完成 ”按钮 ， 完 成 委派 任务 。 
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用 户 或 组 要 委 越 的 任务 人 R 
半生 一 个 或 多 个 信息 花香 制 用户 R 引 > 总 可 迁 笃 车 见 任务 或 启 主 义 您 自己 第 任 务 。 
uw | mw | 过 
Ei ee. 5 | 一 9 |_ 轴 | 


图 8-7 添加 用 户 图 8-8 选择 要 委派 的 任务 
以 后 当 heinfo-admin 登录 后 ， 或 者 在 Windows 7 的 工作 站 上 安装 “远程 服务 器 管理 工具 ”， 
使 用 “服务 器 管理 器 ”打开 “Active Directory 用 户 和 计算 机 ”管理 单元 , 就 可 以 在 “信息 技术 学 院 ” 


组 织 单位 中 创建 用 户 、 删 除 用 户 、 修 改 密码 等 操作 。 
在 前 面 的 操作 中 ， 我 们 委派 了 Domain Users 与 heinfo-admin 用 户 ， 如 果 要 删除 这 个 操作 ， 可 
以 按照 如 下 的 步骤 进行 (以 删除 heinfo-admin 的 委派 权限 为 例 )。 


和 在 “Active Directory 用 户 和 计算 机 ”中 ， 在 “查看 ”菜单 选择 “高 级 功能 ”菜单 命令 ， 


如 图 8-9 所 示 。 
EE mn ETT 


和 中 力 可 | /RJ 


上 
图 8-9 高 级 功能 
lg 右 击 “信息 技术 学 院 ” 组 织 单位 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 如 图 8-10 


所 示 。 
03) 在 “信息 技术 学 院 ”属性 ”对 话 框 中 ， 在 “安全 ”选项 卡 中 ， 选 中 “heinfo-admin” 选 项 ， 
单 击 “删除 ”按钮 ， 如 图 8-11 所 示 ， 然 后 单 击 “ 确 定 ”按钮 就 可 以 删除 委派 的 heinfo-admin 权限 。 


由 于 Domain Users 权限 是 在 “heinfo.local” 中 进行 委派 ， 所 以 ， 如 果 要 删除 该 权限 ， 需 要 右 击 


“heinfo .local” 并 选择 属性 ， 打 开 heinfo local 的 属性 一 安全 选项 卡 ， 从 列表 中 找到 Donain Users 组 进行 
删除 。 
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文件 中， 报 作 的 。 二 丰 的， 关 呈 上 
和 和 路 地 后 | 老 日 | 其 日 区 四 可 


上 Fe 
上 


EE [ 


图 8-10 属性 图 8-11 删除 委派 用 户 


8.1.3 ”默认 组 策略 


组 策略 必须 应 用 在 组 织 单位 上 ， 子 组 织 单位 默认 继承 上 一 级 组 织 单位 的 组 策略 。 所 以 ， 通 常 
将 公共 的 任务 设置 在 最 上 级 的 组 织 单位 上 , 将 专用 的 任务 设置 在 具体 应 用 的 组 织 单位 上 。 默 认 情况 
下 ， 每 个 组 织 单位 都 继承 使 用 上 一 级 的 组 策略 。 在 Windows Server 2008 中 ， 在 “服务 器 管理 器 一 
功能 一 组 策略 管理 ”中 ， 按 照 Active Directory 的 架构 ， 管 理 组 策略 ， 如 图 8-12 所 示 。 
ETETT EE 31] 
详 件 中 禄 作 册 查看 9] 攻 册 00 


和 中 下 | 口头 加 @ | 旧 字 
DL 1 


留 : 
图 8-12 组 策略 管理 


在 图 8-12 中 ， 在 “角色 一 Active Directory 域 服务 一 Active Directory 用 户 和 计算 机 ”中 创建 的 
“组 织 单位 ”及 用 户 、 用 户 组 ， 在 “功能 一 组 策略 管理 ”管理 单元 中 ， 按 照 Active Directory 的 架 
构 ， 显 示 对 应 的 组 织 单位 ， 并 且 在 该 管理 单元 中 进行 组 策略 的 创建 、 删 除 与 编辑 。 
首先 看 一 下 默认 的 策略 。 在 “组 策略 管理 ”中 , 展开 “Domain Controllers”, 可 以 看 到 “Default 
Domain Controllers Policy”, 这 是 默认 的 域 控制 器 的 策略 , 该 策略 只 应 用 于 Active Directory 中 的 “ 域 
控制 器 ”。 而 “heinfo.local” 下 面 的 “Default Domain Policy” 将 应 用 于 域 中 的 所 有 计算 机 (包括 域 
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控制 器 ) 和 用 户 。 
当选 中 某 条 策略 时 ， 例 如 “Default Domain Controllers Policy”， 在 右 侧 的 窗 格 中 ,会 显示 “ 作 


用 域 ”、“ 详 细 信息 ”、“ 设 置 ”、“ 委 派 ”4 个 选项 卡 ， 如 图 8-13 所 示 。 


8-13 ”默认 域 控制 器 策略 


在 “作用 域 ” 选 项 卡 中 ， 显 示 了 “链接 ”、“ 安 全 筛选 ”与 “WMI 各 选 ”， 其 中 “安全 筛选 
列表 中 ， 显 示 了 当前 GPO (Group Policy Object， 组 策略 对 象 ) 应 用 的 目标 组 、 用 户 和 计算 机 ， 其 
中 默认 的 “Authenticated Users” 为 “授权 的 组 ”， 表 示 所 有 已 经 经 过 Active Directory 授权 的 用 户 

( 即 所 有 Active Directory 用 户 ) 。 如 果 你 的 组 策略 只 用 于 指定 的 用 户 ， 可 以 删除 “Authenticated 
Users” 并 添加 指定 的 用 户 、 用 户 组 或 计算 机 。 在 “链接 ”列表 中 ， 显 示 了 当前 组 策略 链接 、 是 否 
强制 、 是 否 启用 链接 及 路 径 ， 可 以 用 鼠标 右 击 列表 中 的 链接 ， 在 弹出 的 快捷 菜单 中 选择 “强制 ”、 
“是 否 启 用 链接 ”、 以 及 删除 该 策略 〈 不 要 删除 默认 的 域 策略 、 默 认 的 域 控制 器 策略 ， 可 以 删除 自 
建 的 域 策略 ) ， 如 果 删 除了 默认 的 域 策略 ， 可 以 右 击 “heinfo.local” 在 弹出 的 快捷 菜单 中 选择 “ 链 
接 现 有 GPO”( 如 图 8-14 所 示 ), 在 弹出 的 “选择 GPO” 对话 框 中 , 选择 “Default Domain Policy”， 
或 者 选择 其 他 删除 的 GPO， 如 图 8-15 所 示 。 


EECTTIEDET7II 
中 中 | 为 Im 口 | 曲目 厅 


8-14 ”链接 现 有 GPO 8-15 选择 GPO 
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在 “详细 信息 ”选项 卡 中 ， 显 示 了 GPO 的 状态 ， 默 认为 “ 己 启用 ”， 如 图 8-16 所 示 。 


EE 
[Er TE 
下 二 6 


8-16 详细 信息 


在 “设置 ”选项 卡 ， 显 示 了 前 选中 的 组 策略 的 设置 信息 ， 如 图 8-17 所 示 。 可 以 单 击 “ 显 示 ” 
或 “隐藏 ”链接 选择 显示 或 隐藏 每 一 项 设置 。 


ELELELEI 


图 8-17 设置 
在 “委派 ”选项 卡 ， 显 示 了 哪些 组 和 用 户 拥 有 此 GPO 的 指定 权限 ， 如 图 8-18 所 示 。 


Er 
I EE 


图 8-18 委派 
如 果 要 在 该 组 策略 中 添加 例外 的 用 户 〈 即 针对 该 组 策略 设置 不 生效 的 用 户 ) ， 可 以 在 “服务 
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器 管理 器 ”窗口 右 侧 窗 格 中 单 击 “ 添 加 ”按钮 ， 添 加 指定 的 用 户 ， 然 后 选中 该 用 户 ， 单 击 “ 高 级 ” 
按钮 ， 在 弹出 的 “Default Domain Policy 安全 设置 ”对 话 框 中 ， 选 中 要 排除 的 用 户 ， 为 该 用 户 添加 
“拒绝 ”权限 即 可 ， 如 图 8-19 所 示 。 
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图 8-19 ”添加 例外 用 户 


8.2 创建 并 编辑 组 策略 


在 本 节 中 ， 我 们 将 介绍 组 策略 的 详细 使 用 。 如 无 必要 ， 不 要 修改 默认 域 策略 或 默认 的 域 控制 
器 的 策略 ， 通 常情 况 下 ， 是 在 指定 的 组 织 单位 中 创建 并 链接 GPO。 


8.2.1 创建 组 策略 并 进行 链接 
接 下 来 ， 将 在 “信息 技术 学 院 ”组 织 单位 中 ， 创 建 GPO 并 进行 链接 ， 步 骤 如 下 。 


0 和 在 “服务 器 管理 器 ”中 ， 定 位 到 “功能 一 组 策略 管理 一 林 一 域 一 (域名 ) ”， 右 击 “信息 技 
术 学 院 ”， 在 弹出 的 快捷 菜单 中 选择 “在 这 个 域 中 创建 GPO 并 在 此 处 链接 ”选项 ， 如 图 8-20 所 示 。 


8-20 创建 GPO 
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02 在 弹出 的 “新 建 GPO” 对 话 框 中 ， 在“ 名称” 文本 框 中 输入 新 建 的 GPO 的 名 称 ， 在 本 
例 为 heinfo( 通常 情况 下 , 创建 的 GPO 名 称 要 与 对 应 的 OU 具有 一 定 的 关系 , 以 方便 后 期 的 管理 )， 
然后 单 击 “ 确 定 ” 按 钮 ， 如 图 8-21 所 示 。 

to3j 创建 GPO 后 ， 在 右 侧 选 中 创建 的 GPO， 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 ， 选 择 对 应 
的 命令 ， 如 图 8-22 所 示 。 在 此 选择 “编辑 ”， 也 可 以 删除 、 重 命名 这 个 GPO。 


Er 
和 中 疡 [5 目 写 


LL y 
图 8-21 新 建 GPO 图 8-22 编辑 GPO 


io 风 随后 将 打开 “组 策略 管理 编辑 器 ”窗口 ， 该 策略 将 会 应 用 于 “信息 技术 学 院 ” 组 织 单位 
中 所 属 的 用 户 、 用 户 组 及 计算 机 对 象 。 如 图 8-23 所 示 。 


RE 
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图 8-23 组 策略 管理 应 用 
8.2.2 ”计算 机 配置 与 用 户 配置 


打开 “组 策略 管理 编辑 器 ”后 ， 可 以 看 到 ， 每 个 组 策略 包括 “计算 机 配置 ”与 “用 户 配 置 ”， 
如 图 8-24 所 示 。 
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图 8-24 组 策略 管理 编辑 器 


在 组 策略 中 ， 策 略 可 以 应 用 于 “计算 机 配置 ”或 “用 户 配置 ”， 且 在 “计算 机 配置 ”中 的 策 
略 将 只 能 用 于 “计算 机 ”， 而 “用 户 配 置 ”中 的 策略 将 只 能 用 于 “用 户 ”。 

例如 : 在 本 例 中 ， 是 在 “信息 技术 学 院 ”组 织 单位 中 ， 创 建 的 组 策略 。 目 前 在 “信息 技术 学 
院 ” 中 ， 只 有 heinfo-admin、ws01、ws02 等 3 个 用 户 和 wg01 组 (如 图 8-25 所 示 ) ， 没 有 “计算 
机 对 象 ”， 如 果 修 改 或 编辑 “计算 机 配置 ”中 的 策略 ， 由 于 当前 组 织 单位 中 没有 “计算 机 ”， 所 以 
该 策略 将 没有 意义 。 如 果 要 使 用 “计算 机 配置 ”策略 ， 可 以 从 “heinfo.local 一 Computers” 中 ， 移 
动 计算 机 到 “信息 技术 学 院 ” 组 织 单位 中 。 


Er TE EE 
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8-25 ”信息 技术 学 院 组 织 单位 


于 该 组 织 单位 中 具有 多 个 用 户 组 ， 所 以 在 修改 了 “用 户 配 置 ”后 ， 使 用 信息 技术 学 院 组 织 
单位 中 的 用 户 (ws01、ws02、heinfo-admin) 或 者 其 中 加 入 到 “wg01” 组 的 用 户 在 工作 站 登录 时 ， 
将 应 用 该 组 策略 。 


- 如 果 “ 办 公 室 ”、“ 实 验 中心 ” 子 组 织 单位 中 存在 用 户 、 用 户 组 或 计算 机 对 象 ， 则 这 些 对 应 也 会 应 


用 该 组 策略 。 


无 论 是 “计算 机 配置 ”还 是 “用 户 配置 ”， 在 “策略 ”中 都 包括 “软件 设置 ”、“Windows 
设置 ”与 “管理 模板 ”， 在 每 一 个 子 项 中 ， 具 体 的 设置 策略 可 能 相同 ， 也 可 能 不 同 〈 例 如 ， 在 “ 计 
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算 机 配置 一 策略 一 Windows 设置 ”中 没有 “文件 夹 重 定向 ”的 策略 , 而 在 “用 户 配置 一 策略 一 Windows 
设置 ”中 则 有 ) 。 如 果 有 相同 的 策略 并 且 设 置 互 相 矛 盾 时 ， 以 “计算 机 配置 ”为 准 。 

在 有 多 个 组 织 单位 时 ， 如 果 某 组 织 单位 没有 创建 策略 ， 则 会 继承 上 一 层 的 策略 ， 如 果 上 一 层 
组 织 单位 没有 策略 ， 会 从 上 上 一 层 继 承 ， 直 到 从 “默认 域 策略 ”继承 。 如 果 某 个 组 织 单位 既 有 自己 
这 一 层 的 策略 ， 也 有 上 一 层 的 策略 时 ， 如 果 策 略 不 冲突 ， 则 同时 生效 〈 即 在 上 一 层 中 设置 的 策略 、 
本 层 没 有 创建 类 似 的 策略 ) ;如 果 策 略 冲突 ， 则 以 本 层 的 策略 为 准 。 


8.2.3 策略 与 首选 项 的 区 别 


在 “计算 机 配置 ”与 “用 户 配置 ”中 ， 都 包括 “策略 ”与 “首选 项 ”， 这 两 者 的 区 别 是 : 

(1) 首选 项 允许 用 户 使 用 熟悉 的 组 策略 管理 控制 台 管 理 所 有 附加 设置 。 在 大 多 数 首选 项 中 ， 
用 户 界 面 模仿 相关 的 最 终 用 户 界面 来 配置 设置 ， 从 而 使 配置 更 加 直观 。 首 选项 并 非 强 制 性 的 应 用 ， 
它 相当 于 客户 端的 “默认 ”设置 ， 客 户 端 可 根据 需要 更 改 这 些 设置 。 而 策略 设置 是 强制 性 的 应 用 ， 
客户 端 一 旦 应 用 这 些 设置 后 ， 将 不 能 更 改 。 

(2) 如 果 要 筛选 “策略 设置 ”， 必 须 针 对 整个 GPO 来 筛选 ， 而 “首选 项 ”可 以 针对 单一 设 
置 项 目 进行 设置 。 

首选 项 提供 20 多 个 组 策略 扩展 ， 它 们 扩展 组 策略 对 象 中 的 可 配置 首选 项 设置 的 范围 。 组 策 
略 允许 用 户 管理 驱动 器 映射 、 注 册 表 设置 、 本 地 用 户 和 组 、 服 务 、 文 件 和 文件 夹 ， 而 不 需要 学 习 脚 
本 语言 。 

在 Windows 7、Windows Server 2008、Windows Server 2008 R2 的 客户 端 计算 机 ， 已 经 支持 首 
选项 的 客户 端 设 置 。 如 果 是 Windows Vista 及 其 以 前 的 计算 机 ， 要 应 用 “首选 项 ”设置 ， 必 须 从 
http://technet.microsoft.com/zh-cn/library/cc731892 〈(WS.10) .aspx 下 载 该 客户 端 扩 展 功 能 。 


8.3 常用 策略 及 应 用 


在 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 中 , 组 策略 的 项 目 非 
常 多 , 如 果 要 详细 的 介绍 每 一 条 策略 , 将 会 占用 大 量 的 篇 幅 (可 能 需要 写 几 百 页 的 一 本 书 来 讲述 ) ， 
而 在 Windows Server 中 ， 操 作 系统 本 身 的 “帮助 ”功能 也 非常 的 强大 ， 许 多 时 候 ， 用 户 可 以 通过 
在 线 的 帮助 ， 来 查看 具体 每 条 策略 的 意义 以 及 设置 项 。 所以， 本 节 将 介绍 相对 重要 的 策略 ， 其 他 没 
有 介绍 的 策略 ， 请 读者 通过 帮助 进行 学 习 并 进行 测试 。 

在 组 策略 应 用 中 ， 无 论 是 “计算 机 配置 ”还 是 “用 户 配置 ”， 都 有 “软件 设置 ”这 一 条 策略 。 
这 条 策略 我 们 将 在 下 一 节 单 独 并 详细 的 介绍 。 首 先 ， 我 们 介绍 其 他 常用 的 及 比较 重要 的 策略 。 


8.3.1 账户 策略 


在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “计算 机 配置 一 策略 一 Windows 设置 一 安全 设置 ” 
中 的 “账户 策略 ”， 包 括 “ 密 码 策略 ”、“ 账 户 锁定 策略 ”与 “Kerberos 策略 ”， 而 在 “密码 策略 ” 
中 包括 “密码 必须 符合 复杂 性 要 求 ”、“ 密 码 长 度 最 小 值 ”、“ 密 码 最 短 使 用 期 限 ”、“ 密 码 最 长 
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使 用 期 限 ”、“ 强 制 密码 历史 ”、“ 用 可 还 原 的 加 密 来 储存 密码 ”等 策略 ， 如 图 8-26 所 示 。 
| 


[ 


图 8-26 ”密码 策略 

在 默认 情况 下 ， 成 员 计 算 机 沿用 各 自 域 控制 器 的 配置 。 如 果 要 修改 这 些 策略 ， 只 须 直 接 用 鼠 

标 双 击 想 要 修改 的 策略 ,例如 双击 “密码 必须 复合 复杂 性 要 求 ”， 在 弹出 的 “密码 必须 符合 复杂 性 

要 求 ” 属 性 ”对 话 框 中 ， 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 根据 需要 ， 选 择 “ 己 启用 ”( 如 

图 8-27 所 示 ) 或 “ 己 禁 用 ”选项 。 如 果 选 择 “ 己 启用 ”， 则 要 求 该 组 织 单位 中 的 用 户 的 密码 ， 必 

须 符合 “复杂 密码 要 求 ”; 如 果 选 择 “ 己 禁用 ”， 则 要 求 该 组 织 单位 中 的 用 户 密码 ， 不 必 符合 “ 复 

杂 密码 要 求 ”。 如 果 要 查看 这 条 策略 对 应 的 意义 ， 可 以 单 击 “ 说 明 ” 选 择 卡 ， 在 该 选项 卡 中 ， 有 该 
条 策略 的 意义 说 明 ， 如 图 8-28 所 示 。 


由 3 
峙 怠 。 右 甘 认 传 仙 下 ， 所 其 计算 所 必用 各自 红 | 由 入 8 | 


| 
ee re pt, 


Ce |] wi 应 肌 失 ) CE |] my L210 
图 8-27 安全 策略 设置 图 8-28 策略 说 明 


在 修改 策略 之 后 单 击 “确定 ”按钮 确认 ， 或 者 单 击 “ 取 消 ” 按 钮 ， 放 弃 策略 的 更 改 。 在 更 改 
策略 之 后 ， 返 回 到 “组 策略 编辑 管理 器 ”窗口 ， 继 续 修改 或 查看 其 他 的 策略 。 


8.3.2 ”本 地 策略 


在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “计算 机 配置 一 策略 一 Windows 设置 一 安全 设置 
中 的 “本 地 策略 ”， 包 括 “ 审 核 策略 ”、“ 用 户 权限 分 配 ” 与 “安全 选项 ”3 个 子 策略 组 ， 其 中 “用 
户 权 限 分 配 ” 策 略 组 中 ， 可 以 修改 实现 某 些 功 能 的 用 户 或 组 ， 例 如 “备份 文件 和 目录 ”策略 中 ， 可 
以 添加 具有 “备份 文件 和 目录 ”权限 的 用 户 或 组 。 

在 “用 户 权限 分 配 ” 策 略 中 ， 包 括 “ 备 份 文 件 和 目录 ”、“ 充 当 操作 系统 的 一 部 分 ”、“ 创 
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建 符号 链接 ”等 多 个 策略 ， 如 图 8-29、 图 8-30 所 示 。 


ET ET ET 


和 只 | 天 [| 旧型 


Pf WT 
图 8-29 用 户 权 限 分 配 策略 1 图 8-30 ”用户 权限 分 配 策略 2 


在 这 些 策略 中 ， 比 较 重 要 的 策略 有 : 
(1) 将 工作 站 添加 到 域 。 在 修改 这 条 策略 时 ， 如 图 8-31 所 示 ， 默 认 情 况 下 ， 任 何 已 经 通过 身 
份 验证 的 用 户 都 具有 此 权限 并 可 以 在 该 域 中 最 多 创建 10 个 计算 机 账户 。 


所 工作 外 沪 加 到 场 二 性 阿 本 | 


0 


好 朋 | 下 内 
图 8-31 将 计算 机 添加 到 域 


在 “8.1.2 委派 用 户 权限 ”一 节 中 ,介绍 了 委派 用 户 权限 、 指 定 用 户 将 计算 机 加 入 到 域 的 权限 。 该 设 
置 与 8.1.2 一 节 中 的 区 别 在 于 , 在 Active Directory 用 户 和 计算 机 容器 上 具有 权限 的 用 户 并 不 受 限于 仅 创 建 


10 个 计算 机 账户 。 


(2) 允许 在 本 地 登录 。 此 登录 权限 确定 哪些 用 户 能 以 交互 方式 登录 到 此 计算 机 。 通 过 在 计算 
机 的 键盘 上 按 Ctrl+AltrDel 序列 启动 的 登录 要 求 用 户 具有 此 登录 权限 。 在 默认 情况 下 ， 只 有 
Administrators、Backup Operators 等 组 的 用 户 才 有 “在 本 地 登录 ”的 权限 。 

在 “本 地 策略 一 安全 选项 ”中 ， 设 置 与 服务 器 或 域 控制 器 安全 相关 的 登录 ， 例 如 “交互 式 登 
录 : 不 显示 最 后 的 用 户 名 ”、“ 交 互 式 登录 : 试图 登录 的 用 户 的 消息 标题 ”、“ 交 互 式 登 录 : 提示 
用 户 在 过 期 之 间 更 改 密码 ”、“ 交 互 式 登录 : 无 须 按 Ctrlr+AlttDel” 等 ， 如 图 8-32 所 示 。 
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8-32 ”安全 选项 


在 “安全 选项 ”策略 组 中 ， 常 用 的 策略 有 : 

(1) 交互 式 登 录 : 无 须 按 Ctrl+AltHDel。 该 安全 设置 决定 用 户 是 否 需要 按 Ctrl+AlttDel 才能 
登录 ， 如 图 8-33 所 示 。 如 果 计 算 机 中 启用 了 此 策略 ， 则 用 户 无 须 按 Ctrl+AlttDel 便 可 登录 ， 但 启 
用 此 策略 会 使 用 户 易 于 受到 企图 截获 用 户 密码 的 攻击 。 用 户 登 录 之 前 需 按 Ctrl+AlttDel 可 确保 用 
户 输入 其 密码 时 通过 信任 的 路 径 进行 通信 。 如 果 禁 用 了 此 策略 ， 则 任何 用 户 登 录 Windows 之 前 都 
需要 按 CtrlHAlt+Del (除非 他 们 使 用 智能 卡 进行 Windows 登录 ) 。 

(2) 使 用 空白 密码 的 本 地 账户 只 允许 进行 控制 台 登 录 ， 如 图 8-34 所 示 。 如 果 启 用 此 项 设置 ， 
使 用 空白 密码 〈 即 无 密码 的 账户 ) 只 能 用 于 从 计算 机 的 键盘 上 登录 。 如 果 禁 用 此 项 设置 ， 使 用 空白 
密码 的 账户 可 能 通过 网 络 ( 例 如 使 用 共享 文件 夹 ) 访问 此 服务 器 ， 也 可 以 用 于 远程 登录 (例如 使 用 
远程 桌面 ) 。 


交互 式 登 EE TI 贝 户 - 使 用 空白 密 妈 的 木 地 帐户 只 允许 进行 控制 台 登 录 屋 性 [2 
ET ET 
a 外， 代用 空地 由 户 吕 外 过 抽 生 间 录 
人 GE 
CMG) 
图 8-33 无 须 按 Cul+AlttDel 图 8-34 使 用 空白 密码 的 本 地 账户 只 允许 进行 控制 台 登 录 


大 家 可 能 听 说 过 一 句 话 ,在 Windows XP 中 ,没有 密码 比 有 密码 更 安全 。 因 为 在 Windows XP、Windows 
Server 2003 开始 ，“ 使 用 空白 密码 的 本 地 账户 只 允许 进行 控制 全 登录 ”的 策略 是 默认 启用 的 ， 如 果 这 些 


系统 的 管理 员 账 户 没 有 设置 密码 ， 由 于 只 人 允许 控制 全 登录 ， 而 禁止 网 络 访问 ， 所 以 即使 有 黑客 攻击 ， 也 
比较 安全 。 如 果 设 置 了 相对 简单 的 密码 并 被 他 人 知道 的 话 ， 计 算 机 上 的 数据 就 会 被 他 人 通过 “共享 文件 
夹 ”或 其 他 方式 窃取 。 


8.3.3 ”高 级 安全 Windows 防火 墙 


在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “安全 设置 一 高 级 安全 Windows 防火 墙 ”策略 组 中 ， 
可 以 配置 “高 级 安全 Windows 防火 墙 ” 的 策略 ， 包 括 “ 入 站 规则 ”“ 出 站 规则 ”以 及 “连接 安全 
规则 ”， 本 小 节 以 创建 “文件 和 打印 机 共享 ”的 入 站 规则 为 例 ， 介 绍 高 级 安全 Windows 防火 墙 策 略 
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组 的 配置 。 


I 和 在 左 侧 任 务 窗 格 定位 到 “安全 设置 一 高 级 安全 Windows 防火 墙 一 高 级 安全 Windows 防 


火 墙 二 入 站 规则 ”， 在 右 侧 窗 格 中 空白 位 置 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 规则 ”选项 ， 如 
图 8-35 所 示 。 


3 在 “规则 类 型 ”对 话 框 中 ， 选 中 “预定 义 ” 单 选 按钮 ， 在 下 拉 列 表 中 ， 选 择 “文件 和 打 
印 机 共享 ”选项 ， 如 图 8-36 所 示 。 


CGE] 
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图 8-35 新 规则 图 8-36 文件 和 打印 机 共享 


说 明 


在 “预定 义 ”列表 中 ， 列 出 了 大 部 分 常用 的 规则 ， 一 般 情 况 下 从 列表 中 即 可 以 找 出 所 需要 的 规则 。 


t@3 在 “预定 义 规则 ”对 话 框 中 ， 显 示 了 要 创建 的 规则 ， 通 常 选择 默认 值 即 可 ， 如 图 8-37 


所 示 。 
04 在 “操作 ”对 话 框 中 ， 选 择 “ 允 许 连 接 ”， 如 图 8-38 所 示 。 
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图 8-37 ”预定 义 规则 图 8-38 ”允许 连接 


tog 创建 完 规则 后 ， 返 回 组 策略 管理 编辑 器 。 
如 果 要 创建 自 定 义 的 规则 , 例如 , 创建 TCP80 与 TCP3389 的 规则 , 可 以 按照 如 下 的 方式 创建 。 
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04 在 左 侧 任务 窗 格 定位 到 “安全 设置 一 高 级 安全 Windows 防火 墙 一 高 级 安全 Windows 防 
火 墙 ~ 入 站 规则 ”中 ， 在 右 侧 窗 格 中 空白 位 置 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 规则 ”选项 ， 在 
“规则 类 型 ”对 话 框 中 ， 选 中 “端口 ” 单 选 按钮 。 

iog 在 “协议 和 端口 ”对 话 框 中 ， 选 择 该 规则 用 于 TCP 还 是 UDP， 在 本 例 选 择 TCP， 然 后 选择 
“特定 本 地 端口 ”， 输 入 要 使 用 的 端口 ， 如 果 是 多 个 端口 ， 用 逗号 (，) 分 开 ， 如 图 8-39 所 示 。 

3 在 “操作 ”对 话 框 中 ， 选 择 “人 允许 连接 ”。 在 “配置 文件 ”对 话 框 中 ， 选 择 默认 的 设置 ， 
如 图 8-40 所 示 。 


协议 和 端口 
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图 8-39 协议 和 端口 图 8-40 配置 文件 
tQ 约 在 “名 称 ” 对 话 框 中 ， 为 新 建 规则 设置 名 称 ， 例 如 Web-RDP， 如 图 8-41 所 示 。 
t0g 创建 后 的 规则 如 图 8-42 所 示 。 


图 8-41 设置 规则 名 称 图 8-42 ”创建 规则 完成 


如 果 要 删除 创建 的 规则 ， 可 以 用 鼠标 选中 (只 能 一 个 一 个 删除 ， 不 能 选中 多 个 )， 按 DEL 键 ， 
或 者 用 鼠标 单 击 右键 ， 在 弹出 的 对 话 框 中 选择 “删除 ”选项 。 


8.3.4 ”计算 机 配置 中 的 Internet Explorer 设置 


在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “计算 机 配置 一 策略 一 管理 模板 一 Windows 组 件 ” 
中 的 “Internet Explorer” 策 略 组， 可 以 定制 Internet Explorer 的 设置 。 
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0 贡 在 “Internet 控制 面板 ”中 ，“ 安 全 页 ”与 “高 级 页 ”分 别 对 应 设置 Internet Explorer 的 
“安全 ”与 “高 级 ”选项 卡 ， 在 “安全 页 ”中 包括 的 “Intemet 区 域 ”、“Intranet 区 域 ”、“ 受 限 
制 的 站 点 区 域 ”、“ 受 信任 的 站 点 区 域 ”中 每 一 项 设置 (如 图 8-43 所 示 ) ， 对 应 Intemet Explorer 
浏览 器 中 “安全 ”选项 卡 中 的 配置 ， 如 图 8-44 所 示 。 
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图 8-44 正 浏览 器 安全 选项 卡 


I02 在 “Intemet 控制 面板 ~ 高 级 页 ”中 (如 图 8-45 所 示 ) ， 对 应 Internet Explorer 浏览 器 的 
“高 级 ”选项 卡 ， 如 图 8-46 所 示 。 
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图 8-45 ”高 级 页 图 8-46 高 级 选项 卡 
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户 可 以 根据 需要 ， 对 “安全 页 ”与 “高 级 页 ”进行 设置 ， 从 而 设置 加 入 到 该 组 织 单位 中 的 
计算 机 的 Internet Explorer 的 “安全 ”与 “高 级 ”选项 卡 。 


8.3.5 Windows Update 设置 


如 果 网 络 中 有 WSUS 的 升级 服务 器 ， 用 户 可 以 在 “计算 机 配置 一 策略 一 管理 模板 一 Windows 
组 件 ” 的 “Windows Update” 策 略 组 中 ， 设 置 该 组 织 单位 中 的 “计算 机 对 象 ”统一 使 用 WSUS 服 
务 器 进行 升级 ， 这 包括 了 计算 机 使 用 WSUS 进行 升级 的 各 项 内 容 ， 如 图 8-47 所 示 。 


此 桓 一 
图 8-47 Windows Update 设置 

0 在 “配置 自动 更 新 属性 ”对 话 框 的 “设置 ”选项 卡 中 ， 指 定 此 计算 机 是 否 将 通过 WSUS 
服务 器 来 接收 安全 更 新 和 其 他 重要 下 载 ， 如 图 8-48 所 示 。 如 果 要 使 用 WSUS， 人 必须 选中 “已 启用 ” 
单 选 按钮 ， 并 且 在 “配置 自动 更 新 ”列表 中 ， 根 据 你 的 设置 进行 选择 。 

I02 在 “启动 自动 更 新 ”后 ， 还 要 在 “指定 Intranet Microsoft 更 新 服务 器 位 置 属性 ”对 话 框 
中 ， 指 定 WSUS 服务 器 的 IP 地 址 及 服务 端口 ， 如 图 8-49 所 示 。 在 实际 使 用 中 ， 可 以 使 用 WSUS 
服务 器 的 计算 机 名 称 或 IP 地 址 替换 图 中 的 wsusip。 
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8-48 配置 自动 更 新 图 8-49 ”指定 WSUS 服务 器 的 人 P 地 址 及 服务 端口 


103| 对 于 Windows Update 的 其 他 设置 ， 可 以 通过 查看 策略 帮助 进行 学 习 。 
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8.3.6 ”终端 服务 策略 
在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “计算 机 配置 一 策略 一 管理 模板 一 Windows 组 件 ” 


中 的 “终端 服务 ”策略 组 ， 它 可 以 为 该 组 织 单位 中 的 所 有 安装 了 “终端 服务 器 ”的 计算 机 ， 配 置 终 
端 服务 的 策略 ， 如 图 8-50 所 示 。 


组 理 编辑 
的 Ea 下 看 W) 硅 贞 0 
和 路 mn | 旧 晤 了 


abe v7 
8-50 ”终端 服务 策略 
该 策略 组 可 以 配置 终端 服务 的 大 多 数 设 置 ， 如 图 8-51 所 示 。 
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8-51 ”终端 服务 配置 


8.3.7 ”系统 配置 策略 


在 “计算 机 配置 一 策略 一 管理 模板 一 Windows 组 件 ” 中 的 “系统 ”策略 组 中 ， 可 以 配置 大 多 
数 的 系统 配置 策略 ， 例 如 “磁盘 配额 ”、“ 登 录 ”、“ 电 源 管理 ”、“ 关 机 选项 ”、“ 驱 动 程序 安 
装 ”、“ 网 络 登 录 ” 等 ,还 可 以 配置 “激活 “关闭 事件 跟踪 程序 系统 状态 数据 ”功能 ”、“ 显 示 “ 关 
闭 事件 跟踪 程序 ””、“ 在 登录 时 不 显示 “管理 您 的 服务 器 ”页 ”等 ， 如 图 8-52 所 示 。 


第 2 篇 ”Active Directory 网 络 管理 与 应 用 


ET 
和 中 | 为 四 目 忆 | 卓 三 | 也 


图 8-52 ”系统 策略 
8.3.8 文件 夹 重 定向 


用 户 设置 和 用 户 文件 通常 存储 在 位 于 “用 户 ” 文 件 夹 下 的 本 地 用 户 配置 文件 中 。 本 地 用 户 配 
置 文件 中 的 文件 只 能 从 当前 计算 机 进行 访问 , 这 样 一 来 , 使 用 多 台 计 算 机 的 用 户 就 很 难 在 多 台 计 算 
机 之 间 处 理 其 数据 并 同步 设置 。 现 有 两 种 不 同 的 技术 来 解决 该 问题 : “漫游 配置 文件 ”和 “文件 夹 
重 定向 ”。 这 两 种 技术 都 有 其 各 自 的 优点 ， 可 以 单独 使 用 ， 也 可 以 结合 起 来 使 用 ， 创 建 一 种 从 一 台 
计算 机 到 另 一 台 计 算 机 的 无 颖 用 户 体验 。 另 外 ， 它 们 还 为 管理 用 户 数据 的 管理 员 提供 了 其 他 选项 。 

“文件 夹 重 定向 ”允许 管理 员 将 文件 夹 的 路 径 重 定向 到 新 位 置 。 该 位 置 可 以 是 本 地 计算 机 上 
的 一 个 文件 夹 ， 也 可 以 是 网 络 文件 共享 上 的 目录 。 用 户 能 够 使 用 服务 器 上 的 文档 ， 如同 该 文档 就 在 
本 地 驱动 器 上 一 样 。 网 络 上 任何 计算 机 的 用 户 都 可 使 用 该 文件 夹 中 的 文档 。 

在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “用 户 配 置 一 策略 一 Windows 设置 一 文件 夹 重 定向 ” 
策略 组 中 ， 可 重 定向 的 文件 夹 包 括 “AppDate〈 应 用 程序 数据 ) ”、“ 桌 面 ”、“ 开 始 菜单 ”、“ 文 
档 ”、“ 图 片 ”、“ 音 乐 ”、“ 视 频 ”、“ 收 藏 来 ”、“ 联 系 人 ”、“ 下 载 ”、“ 链 接 ”、“ 搜 索 ” 
及 “保存 的 游戏 ”文件 来， 如 图 8-53 所 示 。 
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图 8-53 文件 夹 重 定 向 


要 使 用 “文件 夹 重 定向 ”功能 ， 必 须 将 文件 夹 重 定向 到 共享 文件 夹 中 ， 而 不 能 重 定向 到 本 地 路 
径 。 下 面 ， 以 把 该 组 织 单位 中 的 每 个 用 户 的 文件 夹 重 定向 到 “user-home” 共 享 为 例 ， 介 绍 文件 夹 
重 定向 的 用 法 ， 步 又 如 下 。 
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0 在 服务 器 中 找 个 剩余 空间 比较 大 的 分 区 ， 在 根 目录 创建 user-home 并 创建 共享 ， 添 加 
Everyone 组 为 “共有 者 ”权限 ， 如 图 8-54 所 示 。 

(02 在 “文件 严重 定向 ”中 ， 右 击 “AppDate (Roming ) ” 子 文件 夹 ， 在 弹出 的 快捷 菜单 中 
选择 “属性 ”选项 ， 如 图 8-55 所 示 。 


Nn 


ml uel lL 
8-54 ”添加 共享 权限 图 8-55 AppDate 属性 


io3 在 “AppData (Roaming ) 属性 ”对 话 框 ， 在“ 设置” 下拉 列 表 中 选择 “基本 -将 每 个 人 的 
文件 夹 重 定向 到 同一 个 位 置 ”， 在 “目标 文件 夹 设置 ”下 拉 列 表 中 选择 “在 根 目录 路 径 下 为 每 一 用 
户 创建 一 个 文件 夹 ”， 然 后 在 “ 根 路 径 ” 文 本 框 中 输入 图 8-54 中 创建 的 共享 ， 在 本 例 中 ， 该 共享 
路 径 为 \dc.heinfo.local\user-home， 如 图 8-56 所 示 。 这 样 ， 如 果 是 ws01 用 户 ， 该 用 户 的 AppDate 
文件 夹 将 会 被 重重 写 到 \\dc.heinfo.local\user-home\ws01\AppData\Roaming 目录 。 

to 级 在 “设置 ”选项 卡 中 ， 为 AppData ( Roaming ) 选择 重 定向 设置 ( 推荐 保存 默认 值 ) ， 还 
可 以 配置 “策略 删除 ”设置 ( 默认 策略 为 “策略 被 删除 时 ， 将 文件 留 在 新 位 置 ”， 即 图 8-57 中 设 
置 的 位 置 ) ,如 果 选 择 “ 删 除 策略 时 将 文件 夹 移 回 本 地 用 户 配置 文件 位 置 ” 选 项 , 则 该 策略 删除 时 ， 
保存 在 服务 器 中 的 数据 将 会 被 移动 到 本 地 用 户 配置 文件 夹 的 位 置 。 
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8-56 设置 重 定向 文件 夹 的 根 路 径 图 8-57 设置 


tog 在 图 8-57 中 单 击 “ 确 定 ”按钮 ， 弹 出 “警告 ”对 话 框 ， 单 击 “ 是 ”按钮 确认 ， 如 图 8-58 
所 示 。 
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图 8-58 警告 
io8j 请 参照 步骤 2~5 的 设置 ， 将 “桌面 ”、“ 开 始 菜单 ”、“ 文 档 ”、“ 图 片 ”、“ 音 乐 ”、 
“视频 ”、“ 收 藏 丈 ”、“ 联 系 人 ”、“ 下 载 ”、“ 链 接 ”等 文件 来 ， 重 定向 到 同一 位 置 即 
\\dc.heinfo.local\user-home， 其 中 “桌面 ”与 “收藏 夹 ” 重 定向 设置 时 的 截图 如 图 8-39、 图 8-60 所 
示 ， 其 他 的 设置 不 一 一 介绍 。 
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图 8-59 桌面 文件 夹 重 定向 图 8-60 ”收藏 夹 重 定向 


8.3.9 用 户 配置 中 的 Internet Explorer 设置 


在 “用 户 配置 ”中 的 “Internet Explorer 维护 ”策略 组 中 ， 包 括 “ 浏 览 器 用 户 界面 “连接 ” 
“URL”、“ 安 全 ” “程序 ”5 部 分 ， 下 面 分 别 介绍 。 


0 在 “用 户 配置 一 策略 一 Windows 设置 一 Internet Explorer 维护 一 浏览 器 用 户 界面 ”策略 组 
中 ,包括 “浏览 器 标题 ”、“ 自 定义 徽标 和 动画 位 图 ”、“ 浏 览 器 工具 栏 自 定义 ”3 部 分 。 其 中 “ 浏 
览 器 标题 ”用 来 设置 “Internet Explorer 浏览 器 标题 ”中 出 现 的 文字 ， 如 图 8-61 所 示 。 
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图 8-61 浏览 器 标题 
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io3 在 “ 自 定义 徽标 和 动画 位 图 ”处 , 设置 Internet Explorer 的 静态 微 标 位 图 及 Internet Explorer 
右上 角 的 动画 ， 如 图 8-62 所 示 。 
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图 8-62 ” 自 定义 徽标 与 动画 


(1 ) 这 些 自 定义 选项 只 能 应 用 于 IE6。 ( 2 ) 在 指定 徽标 与 动画 位 置 时 ， 须 使 用 网 络 路 径 共享 文件 
夹 及 对 应 的 位 图 与 动画 文件 ， 而 不 是 使 用 本 地 路 径 。 


t03 在 “连接 ”选项 中 ， 用 来 指定 “Internet Explorer” 的 “连接 ”选项 卡 中 的 设置 ， 用户 可 
以 双击 “连接 设置 ”， 在 打开 的 “连接 设置 ”对 话 框 中 ， 选 中 “从 该 计算 机 导入 当前 连接 设置 ” 单 
选 按钮 ， 单 击 “ 修 改 设置 ” 按钮 ， 打 开 “Internet” 属 性 对 话 框 ， 在 “连接 ”选项 卡 中 ,设置 “Internet 
连接 ”、 添 加 拨号 和 虚拟 网 络 ， 单 击 “ 局 域 网 设置 ”按钮 ， 打 开 “ 局 域 网 (LAN ) 设置 ”对 话 框 ， 


ED 


图 8-63 ”连接 设置 


04 在 “URL” 策略 组 中 ， 可 以 指定 Internet Explorer 的 “主页 URL”、“ 搜 索 栏 URL”、 
“联机 支持 页 的 URL” 等 ， 如 图 8-64 所 示 。 
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图 8-64 URL 设置 


tog 在 “安全 ”策略 组 中 ， 修 改 Intemet Explorer 的 “安全 ”选项 卡 (如 图 8-65 所 示 ) ,在 
“Authenticode 设置 ”中 ， 设 置 证 书信 息 等 。 


玉 扣 本。 末了 


图 8-65 ”安全 设置 
06j 在 “程序 ”策略 组 中 ， 用 来 修改 Internet Explorer 的 “程序 ”选项 卡 中 的 设置 ， 如 图 8-66 
所 示 。 
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8-66 ”程序 设置 
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8.3.10 ”开始 菜单 和 任务 栏 


在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “用 户 配置 一 策略 一 管理 模板 一 开始 菜单 和 任务 栏 ” 
策略 组 ， 可 以 配置 开始 菜单 和 任务 栏 中 显示 或 加 载 的 菜单 项 ， 如 图 8-67 所 示 。 
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使 用 组 策略 管理 控制 台 ， 可 以 在 编辑 任何 基于 域 的 组 策略 对 象 时 配置 首选 项 。“ 首 选项 ” 节 
点 显示 在 “计算 机 配置 ”和 “用 户 配置 ” 下。 编辑 器 在 以 下 两 个 类 别 下 显示 首选 项 扩展 : “Windows 
设置 ”和 “控制 面板 设置 ”。 

“Windows 设置 ”下 的 首选 项 扩展 包括 : 


应 用 程序 扩展 : 配置 应 用 程序 的 设置 。 

驱动 器 映射 扩展 : 创建 、 修 改 或 删除 驱动 器 映射 并 配置 所 有 了 驱动 器 的 可 见 性 。 

环境 扩展 : 创建 、 修 改 或 删除 环境 变量 。 

文件 扩展 : 复制 、 修 改 文件 的 属性 ， 以 及 替换 或 删除 文件 。 

文件 夹 扩展 : 创建 、 修 改 或 删除 文件 夹 。 

JInI 文件 扩展 : 添加 、 替 换 或 删除 配置 设置 ( .ini) 或 安装 信息 ( .inf) 文件 中 的 段 或 属性 。 
日 网络 共享 扩展 : 创建 、 修 改 或 删除 ( “取消 共享 ”) 共享 。 

日 注册 表 扩展 : 复制 注册 表 设 置 并 将 其 应 用 到 其 他 计算 机 。 创 建 、 替 换 或 删除 注册 表 设置 。 
e@ 快捷 方式 扩展 : 创建 、 修 改 或 删除 快捷 方式 。 


“控制 面板 设置 ”下 的 首选 项 扩展 包括 : 


@ ”数据 源 扩展 : 创建 、 修 改 或 删除 开放 式 数据 库 连 接 (ODBC ) 数据 源 名 称 。 
@ 设备 扩展 : 启用 或 禁用 硬件 设备 或 设备 的 类 。 
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@ 文件 夹 选项 扩展 : 配置 文件 夹 选项 ; 创建 、 修 改 或 删除 文件 扩展 名 的 “打开 方式 ”关联 ; 
创建 、 修 改 或 删除 与 文件 类 型 关联 的 文件 扩展 名 。 

e@ Internet 设置 扩展 : 修改 用 户 可 配置 的 Internet 设置 。 

e@ ”本 地 用 户 和 组 扩展 : 创建 、 修 改 或 删除 本 地 用 户 和 组 。 

e@ 网 络 选项 扩展 : 创建 、 修 改 或 删除 虚拟 专用 网 络 (VPN ) 或 拨号 网 络 (DUN ) 连接 。 

@ 电源 选项 扩展 : 修改 电源 选项 以 及 创建 、 修 改 或 删除 电源 方案 。 

e@ 打印 机 扩展 : 创建 、 修 改 或 删除 TCP/IP、 共 享 和 本 地 打印 机 连接 。 

@ ”区 域 选项 扩展 : 修改 区 域 选项 。 

@ ”计划 任务 扩展 : 创建 、 修 改 或 删除 计划 任务 或 即时 任务 。 

@ 服务 扩展 : 修改 服务 。 

e@ 开始 菜单 扩展 : 修改 “开始 ”菜单 选项 。 


8.4.1 驱动 器 映射 首选 项 
组 策略 包括 驱动 器 映射 首选 项 扩展 。 对 于 用 户 ， 使 用 该 扩展 可 以 : 


创建 到 网 络 共享 的 动态 驱动 器 映射 。 

使 用 备用 的 用 户 赁 据 创 建 到 网 络 共享 的 动态 驱动 器 映射 。 

修改 映射 的 驱动 器 及 其 属性 。 

删除 单个 映射 的 驱动 器 。 

删除 所 有 映射 的 驱动 器 或 从 前 面 指定 的 驱动 器 号 中 删除 所 有 映射 的 驱动 器 。 
隐藏 或 显示 单个 驱动 器 或 所 有 驱动器， 包括 映射 的 驱动 器 和 物理 驱动 器 。 


接 下 来 通过 具体 的 实例 ， 介 绍 驱 动 器 首选 项 的 配置 方法 ， 步 又 如 下 。 

0 在 服务 器 的 下 盘 创 建 一 个 文件 夹 并 启用 共享 , 例如 创建 的 文件 夹 名 为 software, 如 图 8-68 
所 示 。 

io3 设置 共享 权限 “Administrator” 为 “所 有 者 ”， 添 加 “Everyone” 为 “读者 ”， 并 在 该 
文件 夹 中 复制 一 些 程序 ， 如 图 8-69 所 示 。 
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图 8-68 ”创建 文件 夹 并 启用 共享 图 8-69 向 文件 夹 复制 一 些 程序 


使 用 组 策略 管理 网 络 第 8 和 章 


03j 在 “组 策略 管理 编辑 器 ”窗口 中 ， 定 位 到 “用 户 配置 ~ 首选 项 ~ 驱动 器 映射 ”， 在 右 全 
的 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 一 映射 驱动 器 ”选项 ， 如 图 8-70 所 示 。 

to 绝 在 弹出 的 “新 驱动 器 属性 ”对 话 框 中 ,在 “操作 ”下 接 列 表 中 选择 “更 新 ”选项 , 在 “位 
置 ” 文 本 框 中 输入 要 连接 的 服务 器 共享 。 在 本 例 中 ， 输 入 \\dc.heinfo.local\software (这 是 图 8-68 中 
创建 的 共享 ， 而 dec.heinfo.local 是 该 服务 器 的 名 称 ) ， 在 “驱动 器 号 ”选项 组 处 选择 “使 用 ”， 并 
在 下 拉 列 表 中 选择 一 个 盘 符 ， 如 本 例 选 择 X， 如 图 8-71 所 示 。 
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图 8-71 常规 选项 


在 “首选 项 ”中 ， 在 “常规 ”选项 卡 中 的 “操作 ”功能 包括 4 个 操作 选项 创建、 替换 、 更 新 和 删 
除 。 各 操作 意义 如 下 : 


创建 : 为 用 户 创建 新 的 映射 驱动 器 。 

日 删除 : 删除 用 户 的 映射 驱动 器 。 

@ 替换 : 删除 并 重新 创建 用 户 的 映射 驱动 器 。“ 和 替换 ”操作 的 最 终结 果 是 覆盖 与 映射 驱动 
器 相关 的 所 有 现 有 设置 。 如 果 驱 动 器 映射 不 存在 ， 则 “替换 ”操作 会 创建 新 的 驱动 器 映 
射 。 

e@ 更 新 : 修改 用 户 的 现 有 映射 驱动 器 的 设置 。 该 操作 与 “替换 ”不 同 ， 它 仅 更 新 在 该 首选 

项 中 定义 的 设置 。 所 有 其 他 设置 保持 为 在 映射 驱动 器 上 配置 的 状态 。 如 果 驱 动 器 映射 不 

存在 ， 则 “更 新 ”操作 会 创建 新 的 驱动 器 映射 。 

在 使 用 其 他 “首选 项 ”的 “操作 ”功能 时 ， 通 常 也 会 包括 创建 、 蔡 换 、 更 新 和 删除 4 个 选项 ， 各 意 

义 与 上 述 类 似 。 


tog 在 “公用 ”选项 卡 中 ， 设 置 了 所 有 项 目 共同 的 选项 ， 如 图 8-72 所 示 。 
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划 


确定 了 应 用 愉 计 助 
图 8-72 ”公用 选项 


各 选项 意义 如 下 : 


@ ”如 果 发 生 错 误 ， 则 停止 处 理 该 扩展 中 的 项 目 : 在 默认 情况 下 ， 失 败 的 首选 项 不 阻止 处 理 同 
一 扩展 中 的 其 他 首选 项 。 如 果 选 择 了 “如 果 发 生 错 误 ， 则 停止 处 理 该 扩展 中 的 项 目 ” 选项， 
则 失败 的 首选 项 会 阻止 处 理 扩展 中 的 剩余 首选 项 。 此 更 改行 为 限于 主持 的 组 策略 对 象 

(GPO ) ， 不 扩展 到 其 他 GPO。 首 选 扩展 从 列表 的 底部 开始 处 理 首选 项 ， 一 直到 列表 的 
顶部 。 在 失败 的 首选 项 得 到 应 用 之 前 ， 会 成 功 应 用 各 首选 项 。 首 选 扩展 只 停止 处 理 失 败 首 
选项 之 后 的 首选 项 。 

@ 在 登录 用 户 的 安全 上 下 文中 运行 (用 户 策略 选项 ) : 组 策略 在 两 种 安全 上 下 文中 应 用 用 户 
首选 项 ， 系 统 账户 和 登录 用 户 。 在 默认 情况 下 ， 组 策略 使 用 系统 账户 的 安全 上 下 文 处 理 
用 户 首选 项 . 在 此 安全 上 下 文中 , 首选 扩展 仅 可 用 于 该 计算 机 的 环境 变量 和 系统 资源 。 如 
果 选 择 了 “在 登录 用 户 的 安全 上 下 文中 运行 ”选项 ， 将 更 改 在 其 下 处 理 首选 项 的 安全 上 下 
文 。 首 选 扩展 在 登录 用 户 的 安全 上 下 文中 处 理 首选 项 ， 这 允许 首选 扩展 以 用 户 而 不 是 计算 
机 形式 访问 资源 。 当 使 用 计算 机 可 能 没有 权限 访问 资源 的 驱动 器 映射 或 其 他 首选 项 ， 或 使 
用 环境 变量 时 ， 这 尤其 重要 。 在 非 登录 用 户 的 安全 上 下 文中 评估 时 ， 许 多 环境 变量 的 值 会 
有 所 不 同 。 

e@ 当 不 再 应 用 项 目 时 删除 该 项 目 : 组 策略 将 策略 设置 和 首选 项 应 用 于 用 户 和 计算 机 。 通过 将 
一 个 或 多 个 组 策略 对 象 ( GPO ) 链接 到 Active Directory 站 点 、 域 或 组 织 单位 ， 可 确定 哪 
些 用 户 和 计算 机 接收 这 些 项 目 。 驻 留 在 这 些 容器 中 的 用 户 和 计算 机 对 象 ,接收 链接 的 GPO 
中 定义 的 策略 设置 和 首选 项 ， 因 为 它们 在 GPO 的 作用 域 之 内 。 与 策略 设置 不 同 ， 默 认 
情况 下 ， 主 持 的 GPO 超出 用 户 和 计算 机 作用 域 时 首选 项 不 会 被 删除 。 如 果 选 择 了 “ 当 不 
再 应 用 项 目 时 删除 该 项 目 ”选项 ， 将 更 改 此 行为 。 选 择 此 选项 之 后 ， 首 选 扩展 确定 首选 项 
是 否 应 用 于 目标 用 户 或 计算 机 (作用 域 之 外 ) 。 如 果 首 选 扩展 确定 首选 项 超出 作用 域 ， 它 
将 删除 与 首选 项 相关 的 设置 。 如 果 选 择 此 选项 将 操作 更 改 为 “替换 ”。 在 组 策略 应 用 期 间 ， 
首选 扩展 重新 创建 (删除 并 创建 ) 首选 项 的 结果 。 当 首 选项 超出 用 户 或 计算 机 的 作用 域 时 ， 
首选 项 的 结果 被 删除 ， 但 不 会 重新 创建 。 通 过 使 用 项 目 级 目标 或 更 高 级 组 策略 筛选 器 (如 
WMI 和 安全 组 筛选 器 ) ， 可 以 使 首选 项 超出 作用 域 。 当 首 选项 操作 设置 为 “删除 ”时 ， 

“ 当 不 再 应 用 项 目 时 删除 该 项 目 ” 选 项 不 可 用 。 
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@ ”应 用 一 次 且 不 重复 应 用 : 默认 情况 下 ， 组 策略 每 次 刷新 时 都 重 写 首 选项 的 结果 。 这 样 可 确 
保 首 选项 的 结果 与 管理 员 在 组 策略 对 象 中 的 指定 保持 一 致 。 如 果 选 择 了 “应 用 一 次 且 不 
重复 应 用 ”选项 ， 将 更 改 此 行为 ， 因 为 首选 扩展 将 首选 项 的 结果 应 用 于 用 户 或 计算 机 的 次 
数 仅 为 一 次 。 当 用 户 不 想 重复 应 用 首选 项 的 结果 时 ， 此 选项 非常 有 用 。 

e@ 项 目 级 目标 : 可 以 使 用 项 目 级 目标 来 更 改 个 别 首选 项 的 作用 域 ， 使 首选 项 仅 应 用 于 选 定 的 
用 户 或 计算 机 。 可 以 在 单个 组 策略 对 象 (GPO ) 中 包括 多 个 首选 项 ， 每 个 首选 项 都 针对 选 
定 的 用 户 或 计算 机 进行 了 自 定义 ， 并 且 仅 将 设置 应 用 于 相关 用 户 或 计算 机 。 每 个 目标 项 都 
将 导致 一 个 true 或 false 值 .可 以 将 多 个 目标 项 应 用 于 首选 项 , 并 选择 逻辑 运算 ( AND 或 
OR) ， 通 过 逻辑 运算 将 每 个 目标 项 与 前 一 目标 项 相 组 合 。 如 果 首 选项 的 所 有 目标 项 的 组 
合 值 为 false， 则 首选 项 中 的 设置 不 应 用 于 用 户 或 计算 机 。 使 用 目标 集合 ， 还 可 以 创建 插 
入 语句 。 


togj 在 图 8-72 中 ， 选 中 “项 目 级 别 目标 ”， 然 后 单 击 “ 目 标 ” 按 钮 ， 弹 出 “目标 编辑 器 ”对 
话 框 ， 单 击 “ 新 建 项 目 ”， 可 以 看 出 有 多 个 项 目 供 选择 ， 如 图 8-73 所 示 。 
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图 8-73 项 目 级 别 

在 图 8-73 中 ， 可 以 通过 新 建 项 目 来 确定 现 有 首选 项 ， 使 其 仅 应 用 于 特定 用 户 或 计算 机 ， 例 如 
选择 “CPU 速度 ”选项 ， 可 以 设置 CPU 的 速度 大 于 或 等 于 某 一 频率 ， 如 果 选 择 “操作 系统 ”选项 ， 
则 可 以 选择 操作 系统 的 版 本 (如 Windows XP、Windows Vista 等 ) ， 如 图 8-74 所 示 。 


和 


图 8-74 选择 操作 系统 
当 创建 多 个 项 目 时 ， 可 以 打开 “项 目 选项 ”菜单 ， 设 置 项 目 之 间 的 关系 (和 、 或 、 是 、 不 是 ) 


第 2 篇 Active Directory 网 络 管理 与 应 用 


等 ， 如 图 8-75 所 示 。 
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8-75 项目 选项 


通过 目标 编辑 器 ， 你 可 以 设置 CPU、 卫 地 址 、 操 作 系统 、 磁 盘 空 间 、 组 织 单位 等 选项 ， 来 确 
定 应 用 首选 项 的 目标 。 请 大 家 根据 自己 的 需要 选择 。 


8.4.2 ”环境 首选 项 
组 策略 包括 环境 首选 项 扩展 。 对 于 计算 机 或 用 户 ， 使 用 此 扩展 可 以 : 


@ 创建 永久 性 用 户 或 系统 环境 变量 。 
e@ 修改 环境 变量 。 例 如 : 
> ”修改 命令 提示 符 (方法 是 修改 PROMPT 系统 变量 )。 
> 修改 TEMP 文件 夹 的 位 置 (方法 是 修改 TEMP 系统 变量 )。 
替换 整个 PATH 变量 的 值 。 
将 分 号 分 隔 的 段 添加 到 PATH 变量 。 
将 分 号 分 隔 的 段 从 PATH 变量 中 删除 。 
更 改 PATH 变量 的 分 号 分 隔 的 段 的 文本 大 小 写 。 
e@ 删除 环境 变量 。 


下 面 通过 具体 的 实例 ， 介 绍 环境 首选 项 的 使 用 ， 步 骤 如 下 。 


人 


to 出 定位 到 “首选 项 一 Windows 设置 一 环境 ”， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快 
捷 菜 单 中 选择 “新 建 一 环境 变量 ”选项 ， 如 图 8-76 所 示 。 

to3 在 “新 环境 属性 ”对 话 框 中 ， 在 “操作 ”下 拉 列 表 中 选择 “更 新 ”选项 ， 选 中 “用 户 变 
量 ” 单 选 按钮 ， 在 “名 称 ” 文 本 框 中 输入 TEMP， 在 “ 值 ” 文 本 框 处 设置 cvtemp， 如 图 8-77 所 示 。 
这 样 ， 将 把 用 户 的 临时 目录 更 改 为 cxtemp。 


用 户 可 以 创建 不 存在 的 环境 变量 ， 也 可 以 “更 新 ”或 “删除 ”已 经 存在 的 环境 变量 。 
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图 8-76 ”新建 环 境 变量 图 8-77 新 环境 属性 
如 果 要 查看 系统 可 用 的 环境 变量 ， 可 以 打开 “系统 属性 一 高 级 ”选项 卡 ， 单 击 “ 环 境 变量 ” 
按钮 ， 会 阐 出 “环境 变量 ”对 话 框 ， 显 示 “ 用 户 变量 ”及 “系统 变量 ”， 如 图 8-78 所 示 。 


8-78 查看 环境 变量 


户 也 可 以 在 命令 提示 符 中 输入 SET， 查 看 当前 用 户 的 环境 变量 。 一 般 情况 下 ， 常 用 的 
“Windows 环境 变量 ”如 下 : 
%AppDataDir%: 当前 用 户 的 “应 用 程序 数据 ”目录 。 
%BinaryComputerSid%: 十 六 进 制 格式 的 计算 机 SID。 
%BinaryUserSid%: 十 六 进 制 格式 的 当前 用 户 SID。 
%CommonAppdataDir%: “所 有 用 户 ” 下 的 “应 用 程序 数据 ”目录 。 
%CommonDesktopDir%: “所 有 用 户 ” 下 的 “桌面 ”目录 。 
%CommonFavoritesDir%: “所 有 用 户 ” 下 的 “Explorer 收藏 夹 ”目录 。 
%CommonProgramsDir%: “所 有 用 户 ” 下 的 “程序 ”目录 。 
%CommonStartMenuDir%: “所 有 用 户 ” 下 的 “开始 ”菜单 。 
%CommonStartUpDir%: “所 有 用 户 ” 下 的 “启动 ”目录 。 
%ComputerName%: 计算 机 的 NetBIOS 名 称 。 
%CurrentProcessId%: 主客 户 端 进程 的 数字 标识 。 
%CurrentThreadId%: 主客 户 端 线程 的 数字 标识 。 
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%DateTime%: 当前 时 间 (UTC) 。 

%DateTimeEx%: 以 毫秒 为 单位 的 当前 时 间 (UTC) 。 

%DesktopDir%: 当前 用 户 的 “桌面 ”目录 。 

%DomainName%: 计算 机 的 域名 或 工作 组 。 

%FavoritesDir%: 当前 用 户 的 “Explorer 收藏 来” 目录 。 

%LastError%: 配置 期 间 遇 到 的 上 一 个 错误 代码 。 

%LastErrorText%: 上 一 个 错误 代码 文本 描述 。 

%LdapComputerSid%: LDAP 转 义 二 进 制 格式 的 计算 机 SID。 

%LdapUserSid%: LDAP 转 义 二 进 制 格式 的 当前 用 户 SID。 

%LocalTime%: 当前 本 地 时 间 。 

%LocalTimeEx%: 以 毫秒 为 单位 的 当前 本 地 时 间 。 

%LogonDomain%: 当前 用 户 所 属 的 域 。 

%LogonServer%: 验证 当前 用 户 身份 的 域 控制 器 。 

%LogonUser%: 当前 用 户 的 用 户 名 。 

%LogonUserSid%: 当前 用 户 的 SID。 

%MacAddress%: 计算 机 上 检测 到 的 第 一 个 MAC 地 址 。 

%NetPlacesDir%: 当前 用 户 的 “网 络 邻居 ”目录 。 

%OsVersion%: 操作 系统 为 Windows Server 2008、Windows Vista、Windows Server 2003、 
Windows XP 或 未 知 。 

%ProgramFilesDir%: Windows 程序 文件 目录 。 

%ProgramsDir%: 当前 用 户 的 “程序 ”目录 。 

%RecentDocumentsDir%: 当前 用 户 的 “最 近 的 文档 ”目录 。 

%ResultCode%: 客户 端的 退出 代码 。 

%ResultText%: 客户 端的 退出 代码 文本 描述 。 

%ReversedComputerSid%: 反 向 字 节 排序 十 六 进 制 格 式 的 计算 机 SID。 

%ReversedUserSid%: 反 向 字 节 排序 十 六 进 制 格式 的 当前 用 户 SID。 

%SendToDir%: 当前 用 户 的 “发 送 到 ”目录 。 

%StartMenuDir%: 当前 用 户 的 “开始 ”菜单 。 

%StartUpDir%: 当前 用 户 的 “启动 ”目录 。 

%SystemDir%: Windows 系统 目录 。 

%SystemDrive%: 运行 操作 系统 的 驱动 器 的 名 称 。 

%TempDir%: 当前 用 户 的 “Temp” 目 录 (由 Windows API 确定 ) 。 

%TimeStamp%: 要 执行 的 配置 的 时 间 戳 。 

%TraceFile%: 跟踪 文件 的 路 径 /名 称 。 

%WindowsDir%: Windows 目录 。 


8.4.3 文件 首选 项 
组 策略 包括 文件 首选 项 扩展 。 对 于 计算 机 或 用 户 ， 使 用 此 扩展 可 以 : 
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日 将 文件 (或 一 个 文件 夹 中 的 多 个 文件 ) 复制 到 新 位 置 ， 然 后 配置 这 些 文件 的 属性 。 会 根据 


需要 创建 新 的 子 文件 夹 。 


日 删除 文件 (或 一 个 文件 夹 中 的 多 个 文件 ) 并 用 源 文件 夹 中 的 文件 副本 替换 该 文件 。 
@ 修改 文件 (或 一 个 文件 夹 中 的 多 个 文件 ) 的 属性 。 


e 删除 文件 (或 一 个 文件 夹 中 的 多 个 文件 ) 。 


e 修改 一 个 文件 夹 中 具有 特定 扩展 名 的 所 有 文件 的 属性 ， 以 及 替换 或 删除 这 些 文件 。 
@ 修改 特定 文件 夹 中 所 有 文件 的 属性 ， 以 及 替换 或 删除 这 些 文件 。 


创建 文件 首选 项 的 步骤 如 下 。 


to 出 定位 到 “文件 ”首选 项 ， 在 右 侧 空白 窗 格 中 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 一 文 


件 ” 选 项 ， 如 图 8-79 所 示 。 


NA NE 


图 8-79 新 建文 件 

to3 打开 “新 文件 属性 ”对 话 框 ， 在“ 操作” 下拉 列 表 中 选择 “创建 ”选项 ， 在 “ 源 文件 ” 
文本 框 中 选择 图 8-69 ( 8.4.1 节 ) 中 保存 的 一 个 文件 ， 并 以 UNC 的 格式 输入 ， 在 本 例 中 为 
\\dc.heinfo.local\software\wrar400sc-x86-sc.exe， 在 “目标 文件 ”中 输入 要 保存 到 目标 用 户 的 路 径 ， 
为 本 地 路 径 ， 在 此 例 中 为 c:\temp\ wrar400sc-x86-sc.exe， 如 图 8-80 所 示 。 然 后 在 “公用 ”选项 卡 中 
选中 “应 用 一 次 且 不 重新 应 用 ” 复 选 框 ， 如 图 8-81 所 示 。 


CE ] mw] mw | 并 | 
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图 8-80 新 文件 


8-81 ”应 用 一 次 
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8.4.4 Windows 设置 中 的 文件 夹 首选 项 
Windows 设置 中 的 文件 夹 首选 项 扩展 可 以 实现 如 下 功能 : 


e@ 创建 文件 夹 并 配置 其 属性 。 

@ ”修改 文件 夹 并 配置 其 属性 。 

e@ ”删除 文件 夹 及 其 内 容 。 

@” 仅 当 文件 夹 为 空 时 删除 文件 夹 。 

@ 删除 文件 夹 ( 如 临时 文件 文件 夹 ) 中 的 所 有 文件 ， 而 不 删除 该 文件 夹 。 

e@ ”删除 文件 夹 中 的 所 有 文件 ， 而 不 删除 子 文件 夹 。 

在 Windows 设置 中 ， 创 建文 件 夹 首 选项 的 步骤 如 下 。 

0 和 定位 到 “Windows 设置 一 文件 夹 ”首选 项 ， 在 右 侧 空白 窗 格 中 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “新 建 一 文件 夹 ” 选 项 ， 如 图 8-82 所 示 。 

02 在 “新 文件 夹 属性 ”对 话 框 中 ， 在 “操作 ”下 拉 列 表 中 选择 “更 新 ”选项 ， 在 “路 径 ” 
文本 框 中 输入 c:\temp， 如 图 8-83 所 示 ， 其 他 保持 默认 值 。 
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图 8-82 新 建文 件 夹 图 8-83 新 文件 夹 属性 
03) 设置 完成 之 后 ， 单 击 “ 确 定 ”按钮 。 
{ 唤 经 过 上 述 设置 ， 将 会 在 目标 计算 机 上 的 C 盘 创 建 TEMP 文件 来 。 

8.4.5 ”控制 面板 中 的 文件 夹 首选 项 


控制 面板 中 的 文件 夹 首选 项 允许 用 户 为 Windows Server 2008、Windows Vista、 Windows Server 
2003 和 Windows XP 配置 各 种 Windows Explorer 设置 〈 如 文件 类 型 和 应 用 程序 启动 关联 ) 和文 
件 夹 视图 选项 。 

在 控制 面板 中 ， 创 建文 件 夹 首选 项 的 步骤 如 下 。 


ti 出 定位 到 “控制 面板 设置 一 文件 夹 选 项 ”首选 项 ， 在 右 侧 空白 窗 格 中 右 击 ， 在 弹出 的 快捷 
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菜单 中 选择 “新 建 一 文件 夹 选项 ( Windows Vista) ”选项 ， 如 图 8-84 所 示 。 


文件 夹 选项 包括 Windows XP ( 用 于 Windows XP、Windows Server 2003 ) 、Windows Vista ( 用 于 
Windows Vista、Windows Server 2008 ) 文件 夹 首选 项 ， 在 本 例 中 以 Windows Vista 为 例 ，Windows XP 的 
操作 与 此 类 似 。 


伴生 


On " 
口 RE 和 cd 有 和 
冉 让 王公 的 摘 作 旧 纺 文件 只 苹 ) 
口 在昌 委 阴 台 这 相亲 并 文 关 时 口 
EE 邓 二 二 个 叉 件 及 回流 


回 


RE 
Ca _w 多 罗 


P 
图 8-84 ”新 建文 件 夹 选项 图 8-85 文件 夹 选项 
8.4.6 Internet 设置 首选 项 


组 策略 包括 Intemet 设置 首选 项 扩展 。 对 于 用 户 ， 使 用 该 扩展 可 以 : 


e@ 对 Intemet 设置 进行 特定 配置 。 

@ 对 Intemet 设置 进行 初始 配置 ， 但 允许 最 终 用 户 进 行 更 改 。 

e 配置 几 个 Internet 设置 ， 而 其 他 设置 由 每 个 最 终 用 户 进行 配置 ( 例如， 可 以 指定 代理 服务 
器 设置 ， 从 而 允许 用 户 修改 辅助 功能 选项 ) 。 


设置 Internet 首选 项 的 步骤 如 下 。 


tO 册 定位 到 “控制 面板 设置 一 Intemet 设置 ”， 在 右 侧 空白 窗 格 中 右 击 ， 在 弹出 的 快捷 菜单 中 
选择 “新 建 ~Internet Explorer 7” 选 项 ， 如 图 8-86 所 示 。 


可 以 创建 用 于 正 5、IE6 的 mntemet Explorer 5 和 6 设置 ， 以 及 用 于 IE7 的 Internet Explorer 7， 可 根据 | 
需要 选择 。 


02) 在 弹出 的 “新 Intemet Explorer 7 属性 ”对 话 框 中 ， 可 以 进行 IE7 的 每 项 设置 ， 如 图 8-87 
所 示 。 
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户 可 根据 需要 ， 对 每 个 选项 卡 、 每 个 选项 做 出 设置 。 
8.4.7 ”本 地 用 户 和 组 首选 项 


组 策略 包括 本 地 用 户 和 组 首选 项 扩展 。 该 扩展 允许 用 户 集中 管理 域 成 员 计 算 机 上 的 本 地 用 户 
和 组 ， 在 本 小 节 中 ， 以 创建 名 为 test001 
用 户 的 实例 ， 介 绍 这 个 策略 应 用 。 主 要 步 
又 如 下 。 


I 和 定位 到 “控制 面板 设置 一 本 地 用 
户 和 组 ”， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 “新 建 一 本 地 用 
户 ” 选 项 ， 如 图 8-88 所 示 。 

to3 在 “新 本 地 用 户 属性 ”对 话 框 
中 ， 在 “操作 ”下 拉 列 表 中 选择 “创建 ” 
选项 ， 在 “用 户 名 ”文本 框 处 输入 test001， 
设置 密码 为 alb2c3D4， 如 图 8-89 所 示 . 在 


-二 


图 8-88 新建 用 户 
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“公用 ”选项 卡 中 选中 “应 用 一 次 且 不 重新 应 用 ” 复 选 框 ， 如 图 8-90 所 示 。 


李 池 用 户 | 公用 | 友 地 同 户 公用 | 
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全 名 四 : 

re 

人 a 

WEBN. [eeesssse | 

LC /Tn 

三 弄 Ld 

万 宇和 类 吧 
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历 能 PT 过 央 们 
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CE | mw |_ ww | CR | mw | | 
图 8-89 设置 新 建 用 户 信息 图 8-90 ”公用 选项 


8.4.8 网 络 选项 首选 项 


组 策略 包括 网 络 选项 首选 扩展 。 通 过 此 扩展 可 以 配置 虚拟 专用 网 络 (VPN) 或 拨号 网 络 连接 。 
下 面 以 创建 VPN 连接 为 例 介绍 这 个 选项 的 使 用 ， 步 骤 如 下 。 


0 和 定位 到 “控制 面板 设置 一 网 络 选项 ”选项 ， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快 
捷 菜 单 中 选择 “新 建 ~VPN 连接 ”选项 ， 如 图 8-91 所 示 。 

to3 在 “新 VPN 属性 ”对 话 框 ， 在 “操作 ”下 拉 列 表 中 选择 “创建 ”选项 ， 在 “连接 名 称 ” 
文本 框 处 输入 新 建 VPN 连接 的 名 称 ， 例 如 vpn-test， 在 “IP 地 址 ”文本 框 处 输入 VPN 服务 器 的 地 
址 ， 例 如 1.2.3.4 (在 实际 的 环境 中 ， 须 用 要 拨号 的 VPN 服务 器 的 他 地 址 代替 ) ， 如 图 8-92 所 示 。 
在 “公用 ”选项 卡 选 择 “ 应 用 一 次 且 不 重新 应 用 ”， 其 他 保持 默认 值 。 
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图 8-91 新 建 VPN 连接 图 8-92 新 VPN 属性 


8.4.9 电源 首选 项 


组 策略 包括 电源 选项 首选 项 扩展 。 该 扩展 允许 用 户 配 置 Windows Server 2003 和 Windows XP 
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电源 选项 ， 创 建 电源 选项 的 步骤 如 下 。 


0 定位 到 “控制 面板 设置 一 电源 选项 ”， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜 
单 中 选择 “新 建 一 电源 选项 (Windows XP) ”， 如 图 8-93 所 示 。 
I02 在 “新 电源 选项 (Windows XP ) 属性 ”对 话 框 中 ， 根 据 需要 ， 设 置 电源 选项 ， 如 图 8-94 


a 


图 8-93 ”创建 电源 选项 图 8-94 ”电源 选项 
8.4.10 ”开始 菜单 首选 项 


组 策略 包括 开始 菜单 首选 扩展 。 对 于 用 户 来 说 ， 使 用 该 扩展 可 以 : 

。 对 “开始 ”菜单 进行 特定 配置 。 

e@ 对 “开始 ”菜单 进行 初始 配置 ， 但 允许 最 终 用 户 进行 更 改 。 

e。 配置 几 个 “开始 ”菜单 设置 ， 而 将 其 他 设置 留 给 每 个 最 终 用 户 去 配置 。 
下 面 介 绍 开始 菜单 首选 项 的 配置 方法 ， 步 骤 如 下 : 


0 定位 到 “控制 面板 设置 一 开始 菜单 ”， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜 
单 中 选择 “新 建 一 开始 菜单 (Windows Vista ) ”选项 ， 如 图 8-95 所 示 。 


开始 菜单 包括 用 于 Windows Server 2003 与 Windows XP 的 “开始 菜单 ( Windows XP ) ”与 用 于 
Windows Server 2008 与 Windows Vista 的 “开始 菜单 ( Windows Vista ) ”两 种 ， 可 根据 需要 选择 。 


to3 在 弹出 的 对 话 框 中 ,根据 需要 设置 “常规 ”与 “经 典 ”开始 菜单 项 目 ， 如 图 8-96、 图 8-97 
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图 8-96 ”常规 开始 菜单 项 目 图 8-97 经 典 开始 菜单 项 目 


tQ3 如 果 要 为 Windows XP 操作 系统 定制 开始 菜单 ， 可 参照 步骤 1 ~2 的 操作 ， 在 图 8-95 中 选择 
“新 建 一 开始 菜单 (Windows XP ) ”选项 ,创建 用 于 Windows XP 的 开始 菜单 ， 这 些 不 再 教 述 。 


8.5 使 用 组 策略 分 发 软件 


向 网 络 中 的 多 台 计 算 机 安装 相同 的 软件 ， 是 一 项 非常 麻烦 的 工作 ， 需 要 在 各 台 计 算 机 上 重复 
运行 安装 过 程 。 不 过 , 利用 组 策略 可 以 同时 为 多 台 计 算 机 部 署 安装 应 用 程序 , 管理 员 无 须 到 每 一 台 
计算 机 上 去 安装 ， 既 方便 又 快捷 。 


8.5.1 发布 软件 前 的 准备 工作 


对 于 不 同 的 软件 ， 要 用 不 同 的 方法 进行 部 署 。 用 户 常 用 的 软件 类 型 有 以 下 几 种 

(1) Microsoft 的 MSI 安装 程序 包 : 主要 包括 Microsoft 的 MSI 安装 程序 包 及 所 有 的 Microsoft 
Office 类 软件 ， 如 Word、Excel、PowerPoint 等 ， 还 包括 其 他 一 些 带 有 MSI 安装 包 的 软件 。 这 些 软 
件 人 允许 “管理 员 安 装 ”。 
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(2) 其 他 MSI 安装 程序 包 : 如 NOD32 杀毒 软件 的 安装 程序 ， 这 些 软件 没有 “管理 员 安 装 ” 
选项 。 

(3) 普通 的 EXE 安装 程序 〈 即 扩展 名 为 .exe 的 安装 程序 ) ， 如 Microsoft 开发 工具 VC、VB 
等 ， 以 及 一 些 常 用 软件 ， 如 ACD See、Adobe Reader、WinRAR、Fox mail 等 。 这 些 软件 允许 重新 
打包 和 定制 。 

(4) 一 些 加 密 或 专业 的 软件 ， 如 金山 毒霸 、KV2011 等 杀毒 软件 ， 这 些 软件 不 允许 重新 打包 ， 
或 者 打包 后 在 不 同 的 计算 机 上 不 能 使 用 。 重新 打包 的 软件 , 要 在 不 同 的 计算 机 、 不 同 的 操作 系统 (至 
少 要 能 同时 兼容 Windows 2000 与 Windows XP、Windows 7) 上 使 用 。 

对 于 (1) 种 软件 ， 可 以 使 用 其 自身 提供 的 工具 (或 安装 参数 ) 进行 “管理 员 安 装 ” 后 供用 户 
使 用 。 对 于 (2) 、(3) 种 软件 ， 可 以 使 用 “Install Rite” 软 件 重新 打包 这 些 安装 程序 。 而 对 于 (4) 
种 不 能 打包 的 软件 ， 只 能 由 用 户 手 动 选择 或 者 使 用 Auto IT 来 制作 安装 脚本 进行 安装 。 

发 布 软件 前 的 具体 准备 工作 如 下 : 

(1) 首先 ， 需 要 为 组 策略 发 布 软件 创建 一 个 保存 软件 安装 包 ( 或 安装 程序 ) 的 文件 夹 ， 并 将 
此 路 径 设 置 为 共享 。 

(2) 然后 ， 根 据 软 件 的 不 同 ， 在 “安装 程序 文件 夹 ” 中 创建 不 同 的 文件 夹 。 例 如 ， 创 建 input 
的 文件 夹 ， 用 来 保存 输入 法 的 安装 程序 。 

Windows 主要 有 两 种 安装 程序 包 ， 一 种 是 扩展 名 为 .EXE 的 安装 程序 ， 另 一 种 是 扩展 名 为 .MSI 
的 安装 程序 。 不 过 , 使 用 组 策略 发 布 软件 时 ,只 支持 扩展 名 为 .MSI 的 安装 程序 , 对 于 扩展 名 为 .EXE 
的 传统 安装 程序 则 需要 创建 与 其 对 应 的 扩展 名 为 .ZAP 的 文本 文件 。 

ZAP 文件 的 格式 为 : 

[Application] 文件 头 ， 是 必须 有 的 。 

FriendlyName= ”后 面 输入 安装 程序 的 名 称 ， 并 以 英文 双 引 号 (“”) 包含 。 

SetupCommand= ”后 面 输入 安装 程序 的 名 称 ， 可 以 输入 相对 路 径 如 setup.exe， 也 可 以 输入 绝 
对 路 径 〈 必 须 是 URL 格式 ) ， 例 如 : \ 安 装 程序 文件 夹 \inputznwb5807.exe。 如 果 安 装 程序 不 带 参 
数 ， 必 须 用 两 个 英文 的 双 引 号 包含 。 


ke 


在 Windows 2000 中 , 用 一 个 双 引 号 包含 即 可 ， 但 在 Windows Server 2003/2008 中 ， 必 须 用 两 个 双 引 
号 。 如 果 安 装 程序 带 有 参数 ， 可 以 用 一 个 双 引 号 包含 ， 如 安装 程序 的 执行 过 程 是 setup.exe /g， 则 可 以 输 


入 Setup Command="“serup.exe”/g。 这 一 设置 对 于 Windows Server 2003/2008 同样 适用 。“Display Version=” 
后 面 输入 安装 程序 的 版 本 号 ，“Publisher=” 后 面 输入 开发 软件 的 所 属 公司 名 称 。 创 建 好 ZAP 文件 , 就 可 
以 直接 发 布 EXE 文件 了 。 


一 个 创建 好 的 ZAP 文件 内 容 如 下 所 示 : 


[Application] 

FriendlyName="WinRAR 压缩 解压 缩 软 件 32 位 版 本 " 
SetupCommand=""wrar400sc-x86-sc.exe"" 
DisplayVersion=4.0 

Publisher= 软 众 信息 WinRAR 中 国 区 
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8.5.2 ”使 用 组 策略 发 布 EXE 软件 
下 面 通过 一 个 具体 的 实例 ,介绍 创建 、 编 写 ZAP 文件 方法 ， 以 及 如 何 使 用 组 策略 发 布 EXE 软 
件 ， 步 骤 如 下 。 
to 出 打开 “资源 管理 器 ” ， 进 入 “文件 夹 选 项 ”， 在 “查看 ”选项 卡 中 ， 选 中 “显示 隐藏 的 
文件 和 文件 夹 ” 单 选 按钮 ， 取 消 选中 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 框 ， 如 图 8-98 所 示 。 
03 在 EE 瘟 software 文件 夹 中 ， 复 制 winrar 压缩 软件 ， 文 件 名 为 wrar400sc-x86-sc.exe， 创 建 
一 个 文本 文件 , 设置 文件 名 为 winrarx-400-x86.zap, 并 用 “记事 本 ”打开 该 文件 , 填写 各 项 , 如 图 8-99 


所 示 。 
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图 8-99 编写 ZAP 文件 


| 

图 8-98 文件 夹 选项 
to3 打开 “信息 技术 学 院 ” 组 织 单位 的 “组 策略 管理 编辑 器 ” ， 定 位 到 “用 户 配置 一 策略 一 
软件 设置 ”， 用 鼠标 右 击 “软件 安装 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 如 图 8-100 所 示 。 
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图 8-100 软件 安装 属性 
to 约 在 “软件 安装 属性 ”对 话 框 的 “常规 ”选项 卡 中 ， 在 “默认 程序 数据 包 位 置 ”文本 框 中 


输入 保存 软件 分 发 路 径 的 共享 位 置 ， 在 本 例 中 为 \DC.heinfo.local\software， 如 图 8-101 所 示 。 
tog 在“ 类别” 选项 卡 ， 单 击 “ 添 加 ”按钮 ， 添 加 软件 包 的 分 类 ， 例如， 在 本 例 中 ， 添 加 了 


Office、 常 用 软件 、 杀 毒 软 件 等 软件 类 别 ， 如 图 8-102 所 示 。 
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图 8-101 指定 默认 程序 数据 包 位 置 图 8-102 软件 类 别 
06j 返回 到 “组 策略 管理 编辑 器 ”中 ， 在 右 侧 的 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “新 建 一 数据 包 ” 选 项 ， 如 图 8-103 所 示 。 
QZ 在 “打开 ”对 话 框 中 ， 会 自动 打开 图 8-101 中 指定 的 路 径 ， 在 下 拉 列 表 中 选择 “ZAW 早 
期 版 本 应 用 程序 数据 (*.zap )” 选 项 ,然后 选择 前 面 创建 的 “winrarx-400-x86.zap” 文 件 ， 如 图 8-104 
所 示 。 
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图 8-103 新建 数据 包 8-104 选择 ZAP 包 


- 如 果 要 发 布 的 软件 保存 在 其 他 位 置 ， 请 在 “文件 名 ”文本 框 中 ， 输 入 UNC 路 径 ， 或 者 在 “网 络 ” 
位 置 浏览 选择 。 


08j 在 “部署 软 件 ”对 话 框 中 ， 选 择 “ 已 发 布 ”选项 ， 如 图 8-105 所 示 . 
09j 创建 要 发 布 的 软件 包 后 ， 显 示 如 图 8-106 所 示 . 


玉宇 证 王 


图 8-105 己 发 布 图 8-106 ”发布 的 软件 包 
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加 0 用 鼠标 双击 发 布 的 软件 ， 弹 出 软件 包 属性 对 话 框 ， 在 “常规 ”选项 卡 中 ， 可 以 修改 软件 
包 的 名 称 (如 图 8-107 所 示 ) ， 在 “类 别 ” 选 项 卡 中 ， 选 择 发 布 的 软件 包 的 类 型 ， 在 此 选择 “常用 
软件 ”选项 ， 如 图 8-108 所 示 。 
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图 8-107 常规 选项 卡 图 8-108 ”软件 类 别 


设置 之 后 ， 单 击 “ 确 定 ” 按 钮 返回 。 


加 如 果 要 删除 发 布 的 软件 包 ， 可 以 单 击 鼠 标 右键 ， 在 弹出 的 对 话 框 中 选择 “所 有 任务 一 删 
除 ”选项 ( 如 图 8-109 所 示 ) ， 并 根据 提示 操作 即 可 。 
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图 8-109 删除 软件 包 


8.5.3 发 布 Office 2003 


现在 许多 单位 仍然 在 使 用 Office 2003， 本 小 节 介绍 使 用 组 策略 发 布 Office 2003 的 方法 ， 主 要 
步骤 如 下 : 


e@ 为 Office 2003 启用 “管理 员 安 装 ”。 

@ 集成 Office 2003 的 SP3 到 管理 员 安装 目录 。 

@ ”使 用 组 策略 分 发 Office 2003。 

下 面 介绍 详细 的 步骤 。 

to 将 Office 2003 安装 光盘 (或 使 用 光盘 镜像 ， 用 虚拟 光驱 加 载 光盘 镜像 ) 放 入 光驱 ， 单 击 
“开始 ”一 “运行 ”命令 ， 打 开 “ 运 行 ” 对 话 框 。 单 击 “ 浏 览 ”按钮 选择 Office 2003 的 setup.exe 

程序 ， 然 后 在 后 面 加 上 空格 及 /a 参数 ， 如 图 8-110 所 示 。 
O22 在 “Microsoft Office 2003 安装 ”窗口 中 ， 在 “单位 ”文本 框 中 输入 单位 名 称 ， 在 “安装 
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位 置 ” 文本 框 中 设置 将 要 保存 Office 安装 程序 的 路 径 ( 在 本 例 为 E:\software\Office 2003 ) , 在 “ 产 
品 密 钥 ”文本 框 中 输入 产品 的 安装 序列 号 ， 如 图 8-111 所 示 。 


| Ti LE 
Windows 检 恨 有 名所 给 入 的 名 舟 ,为 筷 打 开 民 应 的 各 序 、 
文件 交 、 文 术 或 ternet 资源 - 
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”图 8-110 管理 员 安装 图 8-111 安装 路 径 及 产品 序列 导 
03) 在 “最 终 用 户 许可 协议 ”窗口 ， 选 中 “我 接受 许可 协议 中 的 条 款 ” 复 选 框 ， 单 击 “ 安 装 ” 
按钮 即 可 开始 复制 程序 ， 如 图 8-112 所 示 。 复 制 文件 之 后 ， 管 理 员 安 装 完成 ， 如 图 8-113 所 示 
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图 8-112 ”接受 许可 协议 


8-113 ”管理 员 安装 完成 


to 级 然后 下 载 Office SP3， 下 载 之 后 ， 将 其 复制 到 下 盘 根 目 录 ， 用 鼠标 单 击 右键 ， 在 弹出 的 


快捷 菜单 中 选择 “解压 到 Office2003SP3-KB923618-FullFile-CHS” 选 项 ， 如 


图 8-114 所 示 。 
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图 8-114 解压 缩 Office 2003 
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05j 解压 缩 后 ,打开 下 盘 “Office2003SP3-KB923618-FullFile-CHS” 文件 夹 ， 看 到 Office 2003 
SP3 的 补丁 文件 ， 如 图 8-115 所 示 。 
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8-115 ”Office 2003 SP3 的 补丁 文件 


I06| 然后 进入 命令 提示 符 ， 进 入 E 盘 Office2003SP3-KB923618-FullFile-CHS 文件 夹 ， 执 行 
mainsp3.msp /a "E:\software\Office 2003\proll.msi" 命 令 ， 如 图 8-116 所 示 。 
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8-116 ”集成 补丁 到 Office 2003 的 管理 员 安装 目录 


0 然后 再 执行 owcllsp3.msp /a "E:\software\Office 2003\owcll.msi" 命 令 ， 在 出 现 的 
“Microsoft Office Web Components” 对 话 框 中 , 接受 许可 协议 (如 图 8-117 所 示 ) ， 直 接 更 新 安装 ， 
如 图 8-118 所 示 。 
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图 8-117 接受 许可 协议 图 8-118 集成 SP3 
to8j 返回 到 “组 策略 编辑 管理 器 ”窗口 ， 定 位 到 “用 户 配 置 一 策略 一 软件 设置 一 软件 安装 ”， 
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在 右 侧 空 白 窗 格 中 用 鼠标 右 击 , 在 弹出 的 快捷 菜单 中 选择 “新 建 一 数据 包 ” 选 项 , 如 图 8-119 所 示 。 


8-119 ”新 建 数 据 包 


09) 在 “打开 ”对 话 框 中 ,浏览 到 \\dc.heinfo.local\software\office 2003 文件 夹 ,选中 PRO11.MSI， 
如 图 8-120 所 示 。 
加 0 在 “部 署 软件 ”对 话 框 中 ， 选 中 “高 级 ” 单 选 按钮 ， 如 图 8-121 所 示 ， 单 击 “ 确 定 ” 按 钮 。 


选择 部 署 方法 
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8-121 选择 部 署 方法 


在 图 8-121 中 ， 已 发 布 : 指针 对 用 户 有 效 ， 已 分 配 : 对 用 户 和 计算 机 都 有 效 。 高 级 : 指 高 级 发 布 与 
高 级 分 配 。 


型 划 在 “部 署 ”选项 卡 中 ， 选 择 “ 已 分 配 ”与 “基本 ”选项 ， 如 图 8-122 所 示 。 
型 到 在 “类 别 ” 选 项 卡 中， 选择 “Office”， 如 图 8-123 所 示 。 然 后 单 击 “ 确 定 ” 按 钮 ， 完 成 
Office 2003 的 组 策略 分 发 工作 。 
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图 8-122 部署 选 项 图 8-123 ”类 别 选项 
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在 执行 图 8-111 的 时 候 ， 如 果 一 直 出 现 “ 在 安装 程序 确定 您 的 磁盘 空间 需求 时 ， 请 耐心 等 待 ” ( 如 


图 8-124 所 示 ) ， 则 退出 安装 程序 ， 在 另外 一 台 机 器 上 , 执行 “管理 员 安 装 ”， 在 安装 完成 后 ， 将 管理 员 
安装 后 的 文件 夹 复制 到 服务 器 即 可 。 
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图 8-124 一 直 停 留 在 该 界面 
8.5.4 ”深刻 理解 使 用 组 策略 定制 软件 


使 用 “组 策略 ”发 布 软件 ， 可 以 针对 “计算 机 ”和 “用 户 ” 进 行 。 这 两 者 的 区 别 如 下 : 


e@ 如 果 在 “计算 机 ”对 象 上 发 布 软件 ， 将 作用 于 Active Directory 中 的 每 一 台 计 算 机 上 ， 此 时 
应 该 在 Active Directory 的 “ 根 ” 容 器 或 “ 根 OU” 上 创建 或 修改 组 策略 。 在 “计算 机 ”上 
发 布 软件 ， 主 要 用 于 系统 的 升级 ， 而 不 是 针对 “用 户 ” 所 做 的 设置 。 例 如 ， 在 “计算 机 ” 
对 象 上 发 布 Windows XP SP2 或 Windows Vista SP1 的 补丁 , 此 时 , 不 管 在 计算 机 上 登录 的 
用 户 是 使 用 哪个 OU 下 的 ， 都 会 生效 。 
@ 如 果 在 “用 户 ” 对 象 上 发 布 软件 ， 将 作用 于 所 属 OU 下 的 用 户 ， 而 不 是 针对 某 台 计算 机 。 
只 要 用 户 在 某 台 计算 机 上 登录 ， 则 作用 于 用 户 的 组 策略 将 在 所 属 计算 机 上 生效 。 
使 用 “组 策略 ”发 布 软件 时 , 可 以 发 布 MSI 程 序 和 EXE 程序 , 其 中 EXE 程序 要 创建 一 个 ZAP 
包 。 这 两 种 的 区 别 是 : MSI 程序 可 以 发 布 、 也 可 以 分 配 ， 而 ZAP 包 只 能 发 布 ， 不 能 分 配 。 发 布 和 
分 配 的 区 别 是 : 


@ 发 布 的 软件 ， 只 能 通过 用 户 在 “添加 /删除 程序 ”中 的 “添加 新 程序 ”中 添加 ， 不 能 自动 安 
装 在 用 户 的 计算 机 中 。 

@ ”分配 的 软件 ， 是 在 用 户 登 录 的 时 候 ， 由 系统 自动 安装 ， 不 需要 用 户 自行 添加 。 当 然 ， 分 配 
的 软件 也 可 以 在 “添加 /删除 程序 ”中 添加 或 删除 。 

@ 发 布 的 软件 ， 用 户 可 以 根据 需要 添加 或 删除 ; 而 分 配 的 软件 ， 如 果 用 户 删 除 ， 则 用 户 下 次 
登录 时 ， 还 是 会 自行 添加 。 


对 于 “计算 机 ”对 象 ， 只 能 使 用 “分 配 ”的 方法 ,不 能 使 用 “发 布 ” 的 方法 。 也 就 是 说 , 在 “ 计 
算 机 ”对 象 中 只 能 部 署 MSI 的 程序 包 。 在 “计算 机 ”对 象 部 署 MSI 程序 包 的 方法 与 在 “用 户 ” 对 
象 部 署 的 方法 类 似 。 
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8.6 使 用 组 策略 与 脚本 发 布 Office 2010 到 计算 机 


在 前 面 使 用 组 策略 发 布 EXE 与 Office 2003 时 ， 是 在 “用 户 配置 一 策略 一 软件 设置 ”中 进行 发 
布 的 ， 接 下 来 我 们 介绍 使 用 组 策略 与 脚本 分 发 Ofce 2010 的 办 法 ， 主 要 步骤 如 下 。 


出 为 分 发 Office 2010 创建 两 个 共享 文件 夹 ， 一 个 文件 夹 保 存 Office 2010 的 安装 程序 , 此 共 
享 为 所 有 用 户 设置 “只 读 ” 权 限 ; 员 一 个 文件 夹 保 存 安装 Office 2010 的 日 志 ， 此 文件 夹 需要 让 所 
有 用 户 具备 “ 读 写 ”权限 。 

Oo3 下 载 Office 2010 的 管理 员工 具 及 脚本 ， 为 安装 Office 2010 进行 自 定义 设置 。 

03j 为 分 发 Office 2010 创 建 OU, 并 编写 Office 2010 的 安装 脚本 , 自 定义 用 户 使 用 Office 2010 
的 策略 。 

I04 在 客户 端 测试 。 


在 接 下 来 的 内 容 中 ， 将 详细 介绍 上 述 每 一 步 操作 。 
8.6.1 准备 Office 2010 安装 程序 

在 使 用 组 策略 发 布 Office 2010 的 时 候 ， 可 以 使 用 以 前 创建 的 software 的 共享 文件 来， 用户 可 
以 在 该 文件 夹 中 创建 一 个 Office2010 的 文件 夹 (注意 ， 不 要 有 空格 ) ， 将 Office 2010 安装 光盘 中 
的 所 有 文件 及 文件 夹 复制 到 该 文件 夹 ， 如 图 8-125 所 示 。 注 意 ，Office 2010 分 32 位 与 64 位 版 本 ， 
本 书 以 32 位 版 本 为 例 。 
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图 8-125 ”复制 Office 2010 安装 文件 


然后 从 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18968 站 点 下 载 
“Office 2010 Administrative Template files (ADM, ADMX/ADML ) and Office Customization Tool”， 
该 程序 同样 有 32 位 与 64 位 版 本 ，32 位 版 本 名 为 AdminTemplates 32bitexe，64 位 版 本 名 为 
AdminTemplates_64bit.exe， 大 小 都 是 13MB， 如 图 8-126 所 示 。 可 根据 需要 分 发 的 Office 2010 选 
择 对 应 的 版 本 ， 在 本 例 中 ， 选 择 32 位 的 Office 2010 自 定义 工具 。 
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Office 2010 Administrative Template files (ADM, ADMX/ADML) 
d Office Customization Ti 


8-126 ”下载 Office 2010 管理 员 模 板 文件 与 自 定义 工具 


在 下 载 Office 2010 模板 文件 与 自 定义 工具 后 , 运行 该 程序 , 接受 许可 协议 (如 图 8-127 所 示 )， 
然后 选择 一 个 文件 夹 (如 图 8-128 所 示 ) ，Office 2010 管理 模板 文件 与 自 定义 工具 将 会 解压 缩 到 该 
文件 夹 。 
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图 8-127 许可 协议 图 8-128 选择 解压 缩 的 文件 夹 


在 解压 缩 之 后 ， 打 开 图 8-128 中 指定 的 文件 来， 将 其 中 的 Admin 文件 夹 〈 如 图 8-129 所 示 )》 
复制 到 图 8-125 中 的 Office 2010 安装 程序 所 在 的 目录 ， 如 图 8-130 所 示 。 
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8-129 复制 Admin 文件 夹 


8-130 ”粘贴 到 O 人 fce 2010 安装 程序 路 径 
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8.6.2 ”Office 2010 自 定义 文件 


在 准备 好 Office 2010 安装 程序 及 admin 文件 夹 后 ， 运 行 Office 2010 的 自 定 义 程序 ， 为 安装 
Office 2010 进行 自 定 义 ， 主 要 步骤 如 下 。 


to 出 运行 命令 提示 符 ， 进 入 Office 2010 所 在 的 目录 ， 执 行 “setup /admin” 命 令 ， 如 图 8-131 
所 示 。 
02 打开 “Microsoft Office 自 定义 工具 ”， 选择 “新 建 用 于 下 列 产品 的 安装 程序 自 定义 文件 ” 
选项 ， 并 单 击 “ 确 定 ”按钮 ， 如 图 8-132 所 示 。 
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8-132 ”运行 Microsoft Office 自 定义 工具 


如 果 是 第 一 次 使 用 Microsoft Office 自 定义 工具 , 一 定 要 选择 “新 建 用 于 下 列 产品 的 安装 程序 自 定义 
文件 ”选项 ， 此 时 自 定义 工具 将 会 从 当前 的 Office 2010 安装 程序 中 提取 配置 。 由 于 Office 2010 有 多 个 产 
品 与 多 个 版 本 ， 例 如 有 VL 版 本 ( 不 需要 输入 序列 号 、 使 用 KMS 服务 器 激活 的 ) ， 有 普通 的 需要 输入 序 
列 号 激活 的 产品 , 还 有 32 位 与 64 位 版 本 。 所 以 ,在 使 用 自 定义 工具 的 时 候 , 一 定 要 将 所 要 分 发 的 Office 
2010 复制 到 服务 器 中 ， 并 将 admin 文件 复制 到 Office 2010 的 安装 目录 中 ， 同 时 配套 使 用 才 可 以 。 只 有 使 
用 图 8-132 新 建 用 于 下 列 产品 的 安装 程序 自 定义 文件 ( 读 取 当 前 产品 配置 ) , 根据 以 后 的 步骤 修改 配置 并 
保存 之 后 ， 才 可 以 选择 “打开 现 有 安装 程序 自 定义 文件 ”选项 并 再 次 修改 ， 但 不 能 打开 用 于 其 他 产品 、 
版 本 的 自 定义 文件 。 


四 3j Office 2010 自 定义 工具 中 的 配置 比较 多 ， 我 们 只 介绍 主要 的 几 种 。 在 “安装 位 置 和 单位 
名 称 ” 选 项 中 ， 可 以 输入 “单位 名 称 ”， 如 图 8-133 所 示 。 
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Microsoft 0ffice 自 定义 工具 


拉夫 丰 用户 计划 机 上 去 法 各 rezstt bttiee 对 使用: 认 文 件 夫 。 可 以 


8-133 单位 名 称 


94 在 “授权 和 用 户 界面 ” 窗 格 中 ， 设 置 Office 2010 的 产品 密 钥 ， 或 者 选择 使 用 KMS 客户 
端 密 钥 (将 用 KMS 对 Office 2010 进行 激活 ) 选项 ， 如 图 8-134 所 示 。 如 果 当 前 的 Office 2010 是 
VL 版 本 ， 须 选择 “使 用 KMS 客户 端 密 钥 ” 选 项 ; 如 果 当 前 的 产品 是 使 用 序列 号 激活 的 ， 须 选择 
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“输入 其 他 产品 密 钥 ” 选 项 并 输入 用 于 当前 Office 产品 的 序列 号 。 如 果 用 于 企业 部 署 ， 且 要 输入 
序列 号 ， 应 输入 可 用 于 多 次 激活 的 MAK 的 序列 号 。 


选中 “我 授 受 《许可 协议 》 中 的 条 款 ” 复 选 框 。 在 “显示 级 别 ” 下 拉 列 表 中 ， 有 3 项 选择 ， 
分 别 是 “无 、 基 本 、 完 全 -默认 ”。 如 果 选 择 “无 ”， 则 使 用 该 自 定义 文件 时 ， 在 安装 的 过 程 中 没 
有 任何 的 显示 ; 如 果 选 择 “基本 ”， 在 安装 的 过 程 中 ， 会 显示 安装 的 界面 ， 但 不 能 选择 ;如 果 选 择 
“完全 -默认 ”， 则 在 安装 的 过 程 中 ， 除 了 会 显示 安装 界面 外 ， 还 会 让 用 户 选 择 安装 的 选项 。 由 于 
Office 2010 的 安装 过 程 比较 “漫长 ”， 所 以 ， 推 荐 在 “显示 级 别 ” 下 拉 列 表 中 选择 “基本 ”选项 。 
如 果 想 让 Office 安装 程序 安装 完成 后 ， 提 示 “ 安 装 完成 ”， 可 以 选中 “完成 通知 ” 复 选 框 ， 且 如 
果 不 需要 该 通知 ， 可 以 不 必 选 择 。 
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8-134 ”授权 和 用 户 界 面 


如 果 使 用 的 是 VL 版 本 的 Office， 则 不 能 选择 “输入 其 他 产品 密 钥 ”选项 ， 反 之 亦 然 。 如 果 进行 了 


错误 的 选择 ， 则 应 用 该 配置 文件 时 ， 会 出 现 错误 。 本 示例 中 ， 使 用 的 是 Office 2010 的 VL 版 本 ， 所 以 选 
择 “ 使 用 KMS 客户 端 密 钥 ” 选 项 。 


tog 在 “修改 用 户 设置 ”窗口 ， 可 以 自 定义 Office 2010 中 的 每 个 产品 的 设置 ， 如 图 8-135 所 
示 。 通 常 使 用 默认 值 即 可 。 

W06| 在 “设置 功能 安装 状态 ”窗口 ， 自 定义 要 安装 的 Office 产品 ， 如 图 8-136 所 示 。 用 户 可 以 单 
击 每 个 产品 并 选择 “从 本 机 运行 、 从 本 机 运行 全 部 程序 、 在 首次 使 用 时 安装 、 不 可 用 ”等 选项 。 


SR EN = 
Microsoft Office 自 定义 工具 


图 8-135 ”修改 用 户 设置 图 8-136 设置 功能 安装 状态 
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由 其 他 设置 可 以 保持 默认 值 ， 或 者 根据 需要 做 出 设置 。 然 后 单 击 “ 文 件 ” 菜 单 选择 “保存 ” 
菜单 命令 ， 如 图 8-137 所 示 。 

to8j 在 弹出 的 “另存 为 ”对 话 框 中 , 将 Office 2010 的 自 定义 文件 保存 到 Office 2010 安装 程序 
所 在 的 Updates 文件 夹 中 。 注 意 ， 一 定 要 是 这 个 文件 夹 ! 而 保存 的 文件 名 可 以 随意 ,例如 设置 为 
Office2010Pro， 系 统 将 会 自动 保存 为 扩展 名 为 msp 的 文件 ， 如 图 8-138 所 示 。 
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8-137 ”保存 8-138 ”保存 自 定义 文件 到 updates 目录 


自 定义 文件 名 任意 , 保存 位 置 确定 。 在 本 示例 中 ， 自 定义 文件 名 为 office2010pro.msp，, 保存 在 Office 
2010 的 Updates 文件 夹 中 。 


如 果 要 使 用 自 定义 文件 进行 测试 , 可 以 在 服务 器 中 ,进入 命令 提示 窗口 , 输入 如 下 的 命令 进行 
测试 : 


e: 
cd \software\office2010 


setup /adminfile updates\office2010pro.msp 


如 果 配 置 文件 无 误 ， 则 会 弹出 “安装 进度 ”对 话 框 ， 显示 Office 2010 的 安装 过 程 ， 如 图 8-139 
所 示 。 

如 果 自 定义 文件 有 问题 ， 或 者 使 用 不 正确 的 自 定义 文件 ， 则 会 弹出 “安装 错误 ”的 提示 框 ， 
如 图 8-140 所 示 ， 单 击 “ 确 定 ” 按 钮 ， 然 后 执行 setup /admin， 可 重新 创建 或 修改 自 定义 文件 。 


和 


eam 
图 8-139 ”使 用 自 定义 文件 安装 Office 2010 图 8-140 自 定 义 文件 不 适合 当前 产品 
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8.6.3 修改 Office 2010 配置 文件 


如 果 不 使 用 8.6.2 小 节 中 的 “ 自 定义 工具 ”创建 的 自 定义 文件 , 而 是 使 用 默认 的 方式 安装 Office 
2010， 也 可 以 修改 Office 2010 的 config.xml 文件 ， 步 又 如 下 。 


WY 使 用 文本 编辑 器 工具 (例如 记事 本 ) 打开 所 安装 Office 产品 (本 例 中 为 Office 
Professional Plus 2010 ) 的 config.xml 文件 。 默 认 情 况 下 ，config.xml 文件 位 于 核心 产品 .WW 文 
件 夹 (本 例 中 为 E:\software\Office2010\ProPlusr.WW ) 中 。 


在 Office 2010 的 VL 版 本 中 ，config xml 的 文件 所 在 目录 是 proplus.ww， 而 在 其 他 版 本 中 ， 文 件 目 
录 是 proplusr.ww， 大 家 要 注意 这 一 区 别 。 


io3 找到 包含 Display 元 素 的 行 ， 如 下 面 的 示例 所 示 : 

<!-- <Display Level="full" CompletionNotice="yes" SuppressModal="no" AcceptEula="no" /> --> 
删除 注释 分 隔 符 “<!--” 和 “-->”， 并 修改 为 : 

<Display Level="none" CompletionNotice="no" SuppressModal="yes" AcceptEula="yes" /> 
修改 之 后 ， 如 图 8-141 所 示 。 


4 PATHANIE lyCorpany” /> -> 
以 一 INSTALLLOCATION yalue= "WorogranfilesW\N crooofr Office” /> 一 


图 8-141 修改 config xml 文件 


to3 修改 之 后 保存 退出 ， 并 用 鼠标 双击 ， 用 正 浏览 器 打开 该 文件 ， 内 容 显示 如 图 8-142 所 示 
为 正常 。 
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图 8-142 查看 config xml 文件 内 容 


四 4 如 果 修改 的 配置 文件 有 问题 , 会 在 下 浏览 器 中 显示 , 提示 错误 在 第 几 行 . 如 果 出 现 错误 ， 
请 重新 用 “记事 本 ”打开 config.xml 并 进行 修改 。 建 议 在 修改 该 文件 前 对 该 文件 进行 保存 ( 例如 保 
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存 到 另 一 位 置 ， 或 用 winrar 对 该 文件 进行 压缩 ) 。 
如 果 要 测试 使 用 config.xml 文件 安装 Office， 则 执行 如 下 的 命令 : 


你 
cd  \software\office2010 
setup.exe /config proplus.ww\config.xml 


则 安装 程序 会 根据 config.xml 的 内 容 自动 完成 安装 。 如 果 使 用 本 示例 所 修改 的 配置 文件 , 则 在 


安装 的 过 程 中 ， 屏 幕 上 不 会 有 任何 显示 ， 可 以 通过 “任务 管理 器 一 进程 ”查看 到 setup.exe 程序 在 
运行 ， 直 到 Office 2010 安装 完成 ， 如 图 8-143 所 示 。 


如 果 以 前 在 服务 器 上 安装 了 Office 2010， 须 进入 “控制 面板 一 程序 和 功能 ”中 ， 将 其 卸载 (如 
图 8-144 所 示 ) ， 等 Office 2010 撮 载 完成 之 后 ， 再 进行 上 述 测试 。 
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8-143 ”安装 程序 在 后 台 运行 


图 8-144 ”外 载 Office 2010 
8.6.4 创建 OU 并 编写 脚本 


在 本 小 节 中 ， 要 创建 专门 用 来 分 发 Office 2010 的 组 织 单位 、 编 写 脚 本 ， 步 又 如 下 : 


0 在 服务 器 上 创建 office2010Log 文件 夹 ， 并 设置 共享 ， 允 许 Everyone 用 户 组 具有 “ 完 
控制 ”权限 ， 如 图 8-145 所 示 。 
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图 8-145 ”创建 共享 、 修 改 共享 权限 
I02 打开 “服务 器 管理 器 ”窗口 ， 在 “角色 一 Active Directory 域 服务 一 Active Directory 用 户 
和 计算 机 ”中 创建 一 个 组 织 单 位 ， 在 此 命名 为 “部 署 Office 2010”， 然 后 在 “功能 一 组 策略 管理 
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一 林 一 域 一 heinfo.local 一 部 署 Office 2010” 组 织 单位 中 创建 组 策略 并 编辑 ， 在 本 例 中 ,组 策略 名 为 
Deploy Office 2010， 如 图 8-146 所 示 。 


图 8-146 创建 并 编辑 组 策略 


to3 打开 “组 策略 管理 编辑 器 ”窗口 ， 定 位 到 “计算 机 配置 一 策略 按钮 ~Windows 设置 ~ 脚 
本 (启动 /关机 ) ”， 用 鼠标 右 击 右 侧 的 “启动 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 
如 图 8-147 所 示 。 

io 多 打开 “启动 属性 ”对 话 框 ， 单 击 “ 显 示 文件 ”按钮 ， 如 图 8-148 所 示 。 


Er TT 
守 ” 


图 8-147 ”启动 脚本 


tog 打开 “Startup” 文 件 夹 ， 在 右 侧 的 空 
白 窗 格 中 ， 新 建 一 个 文本 文件 ， 重 定名 文件 名 
为 office2010install.bat， 如 图 8-149 所 示 。 

106| 用 “记事 本 ”打开 office2010install.bat 
之 后 , 编写 Office 2010 的 自 定义 安装 脚本 ， 脚 
本 的 关键 是 能 实现 “全 自动 ”运行 Office 2010 
的 安装 程序 并 能 在 无 人 交互 的 方式 下 ， 完 成 
Office 2010 的 安装 。 要 实现 这 些 功 能 ， 用 户 可 
以 使 用 8.6.2 或 8.6.3 两 节 中 的 任意 一 种 方式 ， 
例如 ， 如 果 要 使 用 自 定 义 配置 文件 安装 Office i 
2010， 则 安装 命令 是 : 8-149 ”新 建 批 处 理 文件 

setup /adminfile updates\office2010promsp 
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如 果 要 使 用 配置 文件 ， 则 安装 命令 是 : 
setup.exe /config proplus.ww\config.xml 


当然 ， 在 实际 的 使 用 中 ， 由 于 安装 程序 是 保存 在 服务 器 上 的 ， 所 以 ， 无 论 是 安装 程序 ， 还 是 
配置 文件 或 自 定 义 文件 ， 都 要 使 用 UNC 路 径 。 另 外 ， 由 于 Office 2010 有 32 位 版 本 与 64 位 版 本 ， 
而 操作 系统 亦 有 32 位 与 64 位 之 分 ，32 位 的 Office 2010 可 以 安装 在 32 位 与 64 位 的 操作 系统 上 ， 
而 64 位 的 Office 2010， 只 能 安装 在 64 位 的 操作 系统 上 ， 在 编写 脚本 的 时 候 ， 也 需要 考虑 这 个 问 
题 。 下 面 的 脚本 ， 将 以 分 发 Office 2010 的 32 位 版 本 为 例 ， 自 动 识别 32 位 与 64 位 操作 系统 ， 并 启 
动 Office 2010 的 安装 过 程 。 脚 本 内 容 如 下 〈 本 方法 使 用 自 定义 配置 文件 ): 


setlocal 


RE MI 村 证 刺 让 证 市 机 市 环 刘 训 市 市 市 于 于 市 训 训 市 囊 市 素 市 率 市 束 训 于 市 于 市 训 市 让 市 训 市 训 刘 本 训 训 于 市 囊 证 训 认 市 市 市 训 计 字 市 训 证 训 训 刘 训 训 事 训 


REM Environment customization begins here. Modify variables below. 
RE MI 闪 机 认证 计 市 证 市 于 市 训 计 末 市 于 市 于 训 认 于 市 束 证 训 宙 于 宙 宙 于 宙 市 宙 于 束 宙 本 守 宙 于 计 本 字 守 本 守 于 让 于 二 认定 宙 于 


REM 设置 Office 2010 的 产品 名 称 ， 在 安装 完成 之 后 ， 将 会 在 注册 表 中 使 用 此 名 称 注册 键 值 . 
set ProductName=Office14.PROPLUS 


REM 设置 Office 2010 安装 文件 路 径 ， 注 意 ， 需 要 使 用 UNC 网 络 路 径 . 
set DeployServer=\\dc\software\Office2010 


REM 设置 Office 2010 配置 文件 及 路 径 
set ConfigFile=\\dc\software\Office2010\ProPlus.WW\config.xml 


REM 设置 Office 2010 自 定义 文件 及 路 径 
set CustomFile=\\dc\software\office2010\updates\office2010pro.msp 


REM 设置 Office 2010 安装 日 志 路 径 ， 该 路 径 必须 有 可 写 权限 
set LogLocation=\\dc\office2010Log 


RE MI 六 刘 率 率 计 于 于 来 率 训 训 束 束 于 素 训 率 训 本 市 束 于 率 训 率 训 率 市 训 训 率 率 率 本 训 于 于 市 束 率 训 本 于 束 于 素 训 率 率 训 束 束 束 素 率 率 率 可 训 事 环 训 率 本末 事 束 


REM 下 面 为 部 署 Office 2010 的 代码 ， 一 般 不 用 修改 . 


RE MI 玉环 六 六 不 六 于 率 率 素来 六 六 率 六 这 六 率 让 率 六 率 六 率 六 六 率 率 认 率 率 六 率 订 认 这 六 率 太 六 六 这 这 率 六 让 本 六 率 计 率 闵 让 六 让 六 于 亲 计 订 


REM 检查 64 位 操作 系统 中 存在 的 变量 ，32 位 操作 系统 不 存在 该 变量 
REM 如 果 %ProgramFiles (x86) % 变 量 存在 ， 当 前 系统 是 64 位 ， 不 存在 则 是 32 位 
IF NOT "%ProgramFiles (x86) %"=—"" (goto ARP64) else (goto ARP86) 


REM 操作 系统 是 X64. 检查 32 位 Office 2010 的 反 安装 键 值 Wow6432 是 否 存 在 

:ARP64 

REM 查询 注册 表 键 值 ， 如 果 存 在 返回 0， 如 果 不 存在 ， 返 回 1 

Teg query HKEY LOCAL MACHINE\SOFTWARE\WWOW6432NODE\Microsoft\Windows\CurrentVersion\Uninstall\%ProductName% 
REM 如 果 返 回 值 不 等 于 1 则 结束 〈 键 值 不 存在 则 继续 

让 NOT %errorlevel% 一 1 (goto End) 


REM 检查 32 位 与 64 位 系统 中 Office 2010uninstall key 是 否 存在 
:ARP86 
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Teg query HKEY _ LOCAL MACHINE\SOFTWARE\MicrosoftvWindows\CurrentVersionVUninstall\%eProductName9% 
REM 如 果 不 存在 ， 返 回 1， 则 开始 部 署 Offce ， 如 果 存 在 则 结束 
if %errorlevel%==1 (goto DeployOffice) else (goto End) 


REM 如 是 返回 值 是 1， 表 示 Office 2010 不 存在 ， 运 行 安装 程序 
:DeployOffice 


REM 使 用 配置 文件 config.xml 开始 安装 
REM start /wait %DeployServer%\setup.exe /config %ConfigFile% 


REM 使 用 自 定义 文件 开始 安装 
REM start /wait %DeployServero%vsetup.exe /adminfile %CustomFile% 


REM 安装 结果 输出 到 Office 2010 安装 日 志 
echo %date% %time% Setup ended with error code %errorlevel%. >> %LogLocation%\%computername®%.txt 


REM If 0 or other was Teturned, the product was found or another error occurred Do nothing. 
:End 


在 该 脚本 文件 中 ， 有 四 个 变量 : 


第 1 个 变量 为 \dc.heinfo.local\software\Office2010， 表 示 Office 2010 安装 程序 所 在 路 径 。 

第 2 变量 个 为 \\dc.heinfo.local\software\Office2010\ProPlusr.WW\， 表 示 config.xml 文件 及 路 径 。 
第 3 变量 个 为 \\dc\software\office2010\updates\office2010pro.msp， 表 示 自 定义 文件 及 路 径 。 

第 4 个 变量 为 “\\dc.heinfo.local\office2010Log”， 表 示 安 装 Office 2010 的 日 志文 件 。 


如 果 是 在 自己 的 网 络 中 ， 须 用 自己 的 服务 器 的 计算 机 名 称 与 共享 名 称 蔡 换 以 上 文件 。 该 脚本 
文件 也 可 以 从 http://technet.microsoft.com/zh-cn/library/ff602181.aspx 下 载 之 后 ， 并 参考 本 书 修改 。 
如 果 要 使 用 配置 文件 进行 安装 ， 须 将 


REM start /wait %DeployServer%\setup.exe /config %ConfigFile% 
一 行 中 前 面 的 REM 去 掉 ， 并 在 

start /wait %DeployServer%\setup.exe /adminfile %CostomFile% 
一 行 最 前 面 加 入 REM 及 一 个 空格 进行 分 隔 。 


版 本 config xml 保存 的 路 径 不 同 ,在 Office 2010 的 VL 版 本 中 , 保存 路 径 是 ProPlus.WW, 其 他 
版 本 是 ProPlusr.WW。 


0 编写 脚本 并 保存 后 ， 返 回 到 “启动 属性 ”对 话 框 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “添加 
脚本 ”对 话 框 中 ， 单 击 “ 浏 览 ”按钮 ， 选 择 图 8-149 中 创建 的 文件 office2010installbat， 如 图 8-150 
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所 示 ， 然 后 两 次 单 击 “ 确 定 ”按钮 返回 。 


We | 
= Mk Deler orrice 201 的 


确证 到 泣 Ba) 
图 8-150 ”添加 脚本 
to8j 定位 到 “计算 机 配置 一 策略 一 管理 模板 一 系统 一 脚本 ”， 双 击 右 侧 的 “组 策略 脚本 的 最 
长 等 待 时 间 ” 选 项 ， 在 “设置 ”选项 卡 中 ， 将 其 修改 为 0， 表示 让 系统 一 直 等 到 脚本 完成 运行 ( 默 
认 是 600s) ， 如 图 8-151 所 示 。 


8-151 ”修改 脚本 最 长 等 待 时 间 
8.6.5 ”使 用 组 策略 自 定义 Office 2010 


8.6.4 小 节 的 组 策略 及 脚本 是 实现 在 “计算 机 ”中 安装 Office 2010 的 功能 。 如 果 要 为 用 户 自 定 
义 Office 2010 的 环境 ， 可 以 在 “用 户 配置 ”中 ， 通 过 添加 Office 2010 组 策略 模板 实现 ， 主 要 步 又 
如 下 。 


0 和 打开 “信息 技术 学 院 ” 组 策略 管理 编辑 器 ， 定 位 到 “用 户 配置 ~ 策略 一 管理 模板 ”， 用 
鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 /删除 模板 ”选项 ， 如 图 8-152 所 示 。 

tO3 在 弹出 的 “添加 /删除 模板 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 , 然后 浏览 选择 图 8-128 中 Office 
2010 自 定义 工具 的 解压 缩 目 录 ， 从 admvzh-cn 中 选择 并 添加 officel4.adm， 如 图 8-153 所 示 。 添 加 
之 后 ， 返 回 到 “添加 /删除 模板 ”对 话 框 ， 单 击 “关闭 ”按钮 ， 完 成 添加 。 
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8-153 ”添加 office14 策略 模板 


03j 然后 定位 到 “用 户 配 置 一 策略 一 管理 模板 一 经 典 管理 模板 一 Microsoft Office 2010” 策 略 
组 ， 就 可 以 对 Office 2010 进行 定义 了 ， 如 图 8-154 所 示 。 
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图 8-154 Office 2010 策略 组 


I04 最 后 在 命令 提示 符 中 执行 gpupdte /force， 刷 新 组 策略 。 
8.6.6 在 Windows 7 客户 端 测试 
本 小 节 就 可 以 在 Windows 7 客户 端 测试 Offce 2010 的 分 发 了 ， 主 要 步骤 如 下 。 
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0 和 在 “服务 器 管理 器 ”窗口 中 ， 将 要 安装 Office 2010 的 计算 机 移动 到 “部 署 Office 2010” 
组 织 单位 中 ， 如 图 8-155 所 示 。 
i03 以 域 管理 员 账 户 heinfovadministrator， 如 图 8-156 所 示 。 


营 . Windows7 让 大 属 
图 8-155 移动 Windows7 计算 机 到 组 织 单位 中 8-156 ”以 域 管 理 员 账户 登录 


0Q3j 随后 会 进入 系统 ， 此 时 ， 不 会 看 到 Office 2010 的 安装 界面 ， 安 装 程序 会 在 后 台 运 行 ， 可 
以 通过 “Windows 任务 管理 器 ”， 在 “联网 ”选项 卡 中 看 到 网 络 使 用 率 比 较 高 (如 图 8-157 所 示 ) ， 
在 “进程 ”选项 卡 中 还 会 看 到 setup.exe 的 进程 。 

io 弥 用 户 可 以 切换 到 Windows 2008 的 服务 器 中 ， 打 开 “ 计 算 机 管理 ”窗口 ， 在 “系统 工具 ~ 
共享 文件 夹 一 打开 文件 "中 ,看 到 以 “Windows7$” 的 计算 机 名 称 打开 并 访问 的 E:\software\Office2010 
的 安装 文件 ， 如 图 8-158 所 示 。 


E Fema | Em | Jiena 
8-157 ”网 络 使 用 率 8-158 ”在 服务 器 查看 共享 文件 夹 的 使 用 情况 


5) 等 过 一 段 时 间 之 后 ， 在 Windows 7 的 工作 站 端 ， 从 “开始 菜单 ~ 所 有 程序 ”中 会 看 到 
“Microsoft Office” 的 程序 文件 夹 ， 表 示 Office 2010 部 署 完 成 ， 如 图 8-159 所 示 。 

io8j 用 户 也 可 以 查看 Office 2010 日 志文 件 夹 ， 在 此 显示 了 安装 结果 (每 个 文件 名 代表 部 署 了 
一 个 计算 机 ， 并 以 计算 机 名 称 为 文件 名 ) ， 如 图 8-160 所 示 。 


使 用 组 策略 管理 网 络 第 8 和 章 


[ETET TE EEE 
图 8-159 ”Office 2010 部 署 完成 图 8-160 ”Office 2010 日 志文 件 
0 打开 可 以 查看 部 署 的 结果 ， 如 果 文 件 内 容 中 有 日 期 及 代码 0， 表 示 部 署 成 功 ; 如 果 代码 
不 为 0， 则 表示 部 署 出 现 问题 ， 如 图 8-161 所 示 。 
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图 8-161 部署 结果 


日 志文 件 中 的 返回 代码 0 表示 安装 成 功 完成 。 返 回 代码 3010 表示 需要 重新 启动 。 有 关 Office 产 
品 的 Windows Installer 进程 的 其 他 错误 代码 的 详细 信息 ， 请 参阅 Microsoft 知识 库 文章 290158: Office 


2003 产品 和 Office XP 产品 中 Windows Installer 进程 的 错误 代码 和 错误 信息 列表 ， 该 产品 链接 主页 为 
http://support.microsoft.com/kb/290158/zh-cno 


8.7 ”组 策略 的 应 用 效果 


在 本 节 ， 我 们 来 查看 使 用 组 策略 的 应 用 效果 。 以 Windows XP 工作 站 、 用 户 ws01 为 例 (将 
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ws01 用 户 移动 到 “信息 技术 学 院 ” 组 织 单 位 中 ) 进行 介绍 。 
8.7.1 以 域 用 户 的 身份 登录 到 工作 站 


如 果 要 使 组 策略 的 设置 能 够 应 用 于 用 户 ， 在 已 经 加 入 域 的 工作 站 上 ， 必 须 以 域 用 户 的 身份 登 
录 ， 否 则 组 策略 应 用 没有 任何 效果 ， 如 图 8-162 所 示 。 


图 8-162 ”以 域 用 户 ws01 登录 
8.7.2 ”自动 添加 的 程序 


在 工作 站 上 以 域 用 户 登录 后 ,经 过 组 策略 定制 的 环境 、 分 发 的 软件 就 会 开始 生效 。 如 果 是 “ 指 
派 ”的 软件 ， 在 第 一 次 使 用 时 将 会 自动 进行 安装 。 


io 出 打开 “开始 ”菜单 ， 在 所 有 “程序 ”菜单 中 显示 的 是 根据 组 策略 部 署 的 软件 ， 例 如 前 面 
使 用 组 策略 指派 的 Office 2003， 如 图 8-163 所 示 。 


图 8-163 ”Office 2003 已 经 安装 


2 需要 注意 的 是 ， 这 些 只 是 应 用 软件 的 快捷 方式 ， 而 应 用 软件 还 没有 安装 。 在 第 一 次 使 用 
的 时 候 ， 这 些 软件 会 自动 安装 ， 如 图 8-164 所 示 。 

iD3 等 待 几 分 钟 ， 安 装 完成 后 就 会 进入 Word 界面 了 。 以 后 再 次 运行 Word 时 将 会 直接 进入 ， 
不 需要 再 次 安装 。 
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8-164 ”第 一 次 使 用 时 开始 安装 


8.7.3 ”手动 添加 的 程序 


从 “控制 面板 ”中 打开 “添加 或 删除 程序 ”窗口 ， 选 择 “ 添 加 新 程序 ”选项 ， 所 有 已 经 “发 
布 ” 的 软件 将 显示 在 此 处 ， 如 图 8-165 所 示 。 
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图 8-165 管理 员 发 布 的 软件 
单 击 要 添加 的 程序 , 开始 软件 的 安装 , 如 图 8-166 所 示 。 按照 正常 的 安装 步骤 , 安装 软件 即 可 。 
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图 8-166 ”安装 已 经 发 布 的 软件 
8.7.4 查看 组 策略 定制 的 环境 


打开 正 浏览 器 ， 可 以 看 到 经 过 组 策略 定制 的 正 首页 ， 如 图 8-167 所 示 。 由 于 当前 所 用 虚拟 机 
的 设置 ， 当 前 计算 机 并 不 能 打开 所 设置 的 主页 。 
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图 8-167 下 设置 


如 果 在 打开 正 、 我 的 文档 时 ， 出 现 “打开 文件 -安全 警告 ”的 提示 框 〈 如 图 8-168 所 示 ) ， 单 
击 “ 打 开 ” 按 钮 即 可 。 


发 送 方 :NdcheinfojocalNuser-home\ws01WAppDat-. 
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图 8-168 ”打开 文件 警告 对 话 框 
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文件 安全 是 网 络 领域 中 最 重要 的 课题 之 一 。 许 多 企业 的 规章 制度 、 机 密 资 料 已 经 电子 化 ， 而 
这 些 文档 大 部 分 又 是 word 文档 。 企 业 中 的 员工 只 要 能 读 取 并 打开 这 些 文档 ， 就 可 以 将 这 些 重 要 资 
料 复制 、 打 印 。 如 何在 不 影响 员工 查阅 的 情况 下 又 能 确保 这 些 资料 的 安全 呢 ? 使 用 Microsoft 的 
Rights Management Services (RMS， 权 限 管理 服务 ) 即 可 解决 这 个 问题 。RMS 通过 数字 证 书 和 用 
户 身份 验证 技术 对 各 种 Office 文档 的 访问 权限 加 以 限制 ， 使 用 户 只 能 查看 文档 内 容 ， 而 不 能 打印 
和 复制 ， 可 以 有 效 防止 内 部 用 户 擅自 泄漏 机 密 文 档 内 容 ， 从 而 确保 了 数据 文件 访问 的 安全 性 。 


9.1 RMS 概述 


RMS (权限 管理 服务 ) 能 够 有 效 的 保护 文档 在 相应 授权 范围 之 内 不 会 泄露 。 在 Windows Server 
2008 中 为 AD RMS (Active Directory Rights Management Services) ， 即 活动 目录 权限 管理 服务 。 相 
对 于 Windows Server 2003 下 的 RMS 有 了 较 大 的 改进 与 提升 ， 通 过 和 Active Directory 联合 身份 验 
证 等 服务 的 配合 使 用 ， 可 以 更 好 地 保护 Office 文档 的 权限 ， 而 且 使 应 用 更 加 方便 。 


9.1.1 AD RMS 的 相关 组 件 


AD RMS 仍然 基于 服务 器 /客户 端的 结构 , 其 主要 组 件 包 括 支 持 AD RMS 的 应 用 程序 .AD RMS 
客户 端 和 AD RMS 服务 器 端 3 项 ， 三 者 缺 一 不 可 。 只 有 支持 AD RMS 的 应 用 程序 才能 生成 被 保护 
的 文档 ，AD RMS 客户 端 是 安装 在 客户 机 上 的 ， 与 支持 AD RMS 的 应 用 程序 进行 交互 ，AD RMS 
服务 器 负责 为 信任 实体 颁发 证 书 、 授 权 服务 器 、 为 AD RMS 保护 的 文档 进行 授权 。 

使 用 权限 管理 账户 证 书 可 以 将 用 户 账户 和 有 具体 的 一 台 设 备 关 联 起 来 ， 也 就 是 说 每 个 不 同 的 账 
户 在 同一 台 计 算 机 上 存在 惟一 的 权限 管理 证 书 ,或 同一 账户 在 不 同 的 计算 机 上 的 权限 管理 证 书 也 不 
相同 。 虽 然 在 不 同 计 算 机 上 的 权限 管理 账户 证 书 不 同 , 但 是 在 权限 管理 账户 证 书 中 所 包含 的 密 钥 却 
是 相同 的 。 该 权限 管理 账户 证 书 是 由 企业 中 的 第 一 台 AD RMS 服务 器 所 颁发 的 ， 即 在 任何 计算 机 
上 的 用 户 的 密 钥 对 是 相同 的 ， 当 用 户 向 AD RMS 许可 服务 器 请 求 许可 时 就 需要 使 用 权限 管理 账户 
证 书 。 

权限 账户 证 书 (RAC) 的 生成 过 程 如 下 所 示 。 

(1) 当 用 户 第 一 次 使 用 由 AD RMS 加 密 的 文档 时 ， 就 需要 向 AD RMS 服务 器 发 送 请 求 ， 首 
先 用 户 会 以 域 用 户 的 身份 向 AD RMS 证 书 服务 器 发 送 请 求 ， 来 获取 权限 管理 账户 证 书 。 
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(2) 服务 器 会 对 服务 器 数据 库 中 所 存 的 信息 进行 查询 ， 如 果 该 用 户 已 经 存在 密 钥 对 ， 就 会 应 
用 已 有 的 密 钥 ， 如果 没 有 ， 就 会 为 该 用 户 生成 一 个 密 钥 对 。 

(3) 服务 器 会 将 该 用 户 的 密 钥 对 中 的 私 钥 用 该 证 书 服务 器 的 私 钥 进行 加 密 。 

(4) 将 用 户 密 钥 对 中 的 私 钥 加 密 后 ， 服 务 器 会 将 用 户 密 钥 对 中 的 公 钥 和 加 密 后 的 私 钥 放 到 权 
限 管理 账户 证 书 中 。 

(5) 权限 管理 账户 证 书 会 被 AD RMS 服务 器 用 私 钥 进行 数字 签署 ,这样 就 能 确定 该 权限 管理 
账户 证 书 是 由 AD RMS 证 书 服务 器 所 发 放 的 ， 还 没有 被 算 改 。 

(6) AD RMS 服务 器 会 将 权限 管理 账户 证 书 发 送 给 用 户 。 

(7) 服务 器 将 用 户 的 密 钥 对 存储 到 AD RMS 的 数据 库 中 , 该 权限 管理 账户 证 书 就 是 以 后 该 用 
户 进行 各 种 使 用 许可 申请 的 证 书 。 


9.1.2 AD RMS 的 实现 原理 


1. 服务 的 发 现 


服务 的 发 现实 际 上 就 是 RMS 客户 端 发 现 AD RMS 服务 器 的 一 个 过 程 ， 该 过 程 可 以 通过 两 种 方 
法 来 实现 ， 一 种 是 通过 活动 目录 中 的 服务 连接 点 (SCP) ， 通 过 它 就 可 以 找到 企业 中 的 证 书 服务 器 的 
位 置 。 第 二 种 方法 就 是 通过 注册 表 ， 通 过 注册 表 可 以 使 客户 端 上 的 应 用 程序 找到 AD RMS 服务 器 。 

AD RMS 服务 可 以 激活 RMS 客户 机 , 如 果 要 使 用 该 RMS 客户 机 , 必须 在 第 一 次 使 用 时 去 AD 
RMS 服务 器 上 激活 该 RMS 客户 机 ， 因 为 这 样 就 可 以 从 AD RMS 服务 器 上 获取 权限 管理 账户 证 书 
等 信息 。 


2. 文档 的 在 线 发 布 过程 


由 RMS 客户 端 在 线 向 授权 服务 器 发 送 请 求 。 具 体 的 发 布 过 程 如 下 。 

(1) 由 密码 箱 生 成 对 称 密 钥 作 为 内 容 密 钥 ， 这 个 内 容 密 钥 会 被 授权 服务 器 加 密 。 

(2) 内 容 密 钥 会 被 授权 服务 器 的 公 钥 加 密 ， 这 样 做 的 目的 就 是 通过 网 络 将 它 发 送 给 授权 服务 
器 , 然后 授权 服务 器 能 够 用 它 自 己 的 私 钥 将 这 个 内 容 解 读 出 来 , 而 在 传送 的 过 程 中 不 会 被 别人 截获 
获取 内 容 密 钥 。 

(3) 加 密 的 内 容 密 钥 和 权限 被 发 送 给 请 求 发 布 许可 的 授权 服务 器 。 

(4) 授权 服务 器 使 用 它 的 私 钥 解 开 加 密 的 内 容 密 钥 。 

(5) 授权 服务 器 使 用 它 的 公 钥 加 密 内 容 密 钥 和 使 用 权限 。 

(6) 加 密 后 的 密 钥 和 使 用 权限 被 添加 到 发 布 许可 。 

(7) 授权 服务 器 使 用 它 的 私 钥 签 署 发 布 许可 。 

(8) 发 布 许可 返回 给 申请 的 客户 端 。 

(9) 支持 AD RMS 的 应 用 程序 将 发 布 许可 合并 到 受 保护 的 文档 中 。 

3. 文档 的 离线 发 布 过 程 


如 果 用 户 使 用 的 是 笔记 本 等 移动 办 公 的 计算 机 设备 ， 在 自己 的 家 中 有 可 能 不 能 够 连接 到 公司 
的 AD RMS 服务 器 ， 这 时 该 用 户 是 不 是 就 不 能 使 用 由 AD RMS 创建 的 文档 了 了 呢 ? 其 实用 户 还 是 可 
以 访问 这 些 文档 的 ， 只 是 用 户 需要 一 个 客户 端 许可 证 书 (《CLC) 。 具 体 的 保护 过 程 如 下 。 
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(1) 由 密码 箱 生 成 对 称 密 钥 作 为 内 容 密 钥 。 

(2) 客户 端 从 客户 端 许可 证 书 中 取出 授权 服务 器 的 公 钥 。 

(3) 客户 端 使 用 服务 器 的 公 钥 加 密 内 容 密 钥 ， 使 用 服务 器 的 公 钥 所 加 密 的 内 容 密 钥 只 能 由 服 
务 器 的 私 钥 所 解密 。 

(4) 客户 端 使 用 客户 端 许可 证 书 的 公 钥 对 内 容 密 钥 再 进行 一 次 加 密 ， 会 再 次 获得 一 个 加 密 后 
的 对 称 密 钥 。 需 要 注意 ， 离 线 发 布 和 在 线 发 布 所 不 同 的 是 : 在 离线 发 布 过 程 中 ， 对 内 容 进行 了 两 次 
加 密 。 

(5) 两 次 加 密 后 的 对 称 密 钥 同时 被 放 到 发 布 许可 中 。 

(6) 客户 端 使 用 权限 管理 账户 证 书 中 的 私 钥 解密 客户 端 许可 证 书 中 的 私 钥 。 

(7) 客户 端 使 用 CLC 的 私 钥 签 署 发 布 许可 。 

(8) 支持 AD RMS 的 应 用 程序 将 发 布 许可 合并 到 受 保护 的 文档 中 。 

4. 受 保护 文档 的 使 用 过 程 


使 用 受 保护 文档 的 具体 过 程 如 下 。 

(1) 客户 端 将 权限 管理 账户 证 书 和 文档 的 发 布 许可 发 送 到 颁发 发 布 许可 的 授权 服务 器 。 
(2) 授权 服务 器 使 用 它 的 私 钥 解 出 发 布 许可 中 的 内 容 密 钥 。 

(3) 授权 服务 器 使 用 权限 管理 账户 证 书 中 用 户 的 公 钥 加 密 内 容 密 钥 。 

(4) 把 加 密 的 内 容 密 钥 和 用 户 的 使 用 权限 添加 到 使 用 许可 。 

(5) 授权 服务 器 使 用 它 的 私 钥 签署 使 用 许可 。 
(6) 作为 响应 将 该 使 用 许可 发 送 给 客户 端 。 
(7) 密码 箱 使 用 计算 机 的 私 钥 解 密 保 存在 权限 管理 账户 证 书 中 的 用 户 私 钥 。 
(8) 密码 箱 使 用 用 户 的 私 钥 解密 内 容 密 钥 。 

(9) 密码 箱 使 用 内 容 密 钥 解密 被 加 密 的 受 保护 内 容 。 


lH 


意 


让 HE 
使 用 服务 器 的 公 钥 所 加 密 的 内 容 只 能 由 服务 器 的 私 钥 来 解 开 。 


9.1.3 AD RMS 服务 器 软件 需求 
AD RMS 服务 器 端的 软件 需求 如 下 : 


e@ 必须 是 域 的 额外 域 控制 器 或 域 成 员 服务 器 。 

e@ 安装 TIS 服务 和 ASP.Net 组 件 。 

e@。 安装 MSMQ (消息 队列 ) 服务 。 

@ 可 选 数据 库 。 如 果 想 要 创建 AD RMS 服务 器 群集 ， 需 要 安装 SQL Server 数据 库 服务 器 或 
MSDE 数据 库 (建议 选择 SQL Server ) ， 也 可 以 直接 使 用 AD RMS 自 带 的 本 地 数据 库 。 


AD RMS 服务 器 软件 需要 提前 安装 的 Windows 组 件 , 在 安装 过 程 中 可 以 自动 提前 安装 ,用 户 也 可 不 
必 一 一 手动 准备 。 
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9.2 AD RMS 服务 器 的 安装 和 配置 


Windows Server 2008 中 的 AD RMS 与 Windows Server 2003 中 的 RMS 最 大 的 区 别 就 在 于 ， 它 
不 再 是 一 个 独立 服务 插件 ， 而 是 成 为 了 Windows 的 一 项 内 建功 能 ， 并 且 包含 了 某 些 升 级 功能 。 安 
装 AD RMS 无 须 下 载 任何 安装 包 ， 直 接 在 管理 服务 器 窗口 中 启动 安装 向 导 即 可 轻松 安装 。 


9.2.1 准备 工作 
为 了 确保 安装 过 程 可 以 顺利 进行 ， 开 始 之 前 应 做 好 如 下 准备 工作 : 


e ”将 计算 机 加 入 到 域 ， 或 者 提升 为 域 的 额外 域 控制 器 ， 或 者 子 域 。 

@ ”使 用 域 用 户 账户 登录 ， 但 不 能 使 用 Administrator 账户 。 

@ 选择 数据 库 。 如 果 要 使 用 独立 数据 库 ， 需 安装 SQL Server。 否则 ,可 使 用 AD RMS 的 自 带 
数据 库 。 

e@ 安装 之 前 , 确认 http:Wuddimicrosoftcom 和 https://uddi.microsoft.com 这 2 个 网 站 在 Internet 
Explorer 中 被 添加 至 “受信 任 的 站 点 ”或 “本 地 Internet”。 


9.2.2 ”安装 AD RMS 根 服务 器 


AD RMS 服务 并 不 是 Windows Server 2008 R2 系统 默认 安装 的 组 件 ， 需 要 用 户 手 动 添加 。 安 装 
向 导 如 果 检 测 到 有 未 完成 的 准备 工作 ， 则 显示 提示 信息 ， 并 给 出 解决 方案 ,通常 情况 下 可 以 自动 完 
成 必要 组 件 的 安装 。 


0 使 用 域 管理 员 账 户 ( 默认 为 Administrator， 但 不 能 使 用 ) 登录 ， 在 “Active Directory 用 
户 和 计算 机 ”窗口 中 , 创建 一 个 名 为 RMS 的 组 织 单位 ， 并 在 该 组 织 单位 中 创建 3 个 账户 (如 图 9-1 
所 示 )。 其 中 1 个 账户 为 RMS-Services, 需 要 将 这 个 账户 添加 到 管理 员 组 (例如 添加 到 Domain Admins 
组 ) ， 该 账户 为 RMS 服务 账户 ， 另 2 个 账户 为 普通 账户 ， 账 户 显示 名 为 张 三 ( 对 应 账户 登录 名 为 


9-1 创建 组 织 单位 并 创建 账户 


to3 然后 打开 “服务 器 管理 器 ” ,运行 “添加 角色 向 导 ”， 在 “选择 服务 器 角色 ”对 话 框 中 ， 
选中 “Active Directory Rights Management Services” 复 选 框 , 则 在 安装 RMS 的 时 候 会 一 同安 装 “Web 
服务 器 (IIS ) ”， 如 图 9-2 所 示 。 
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io03 在 “Active Directory Rights Management Services 简介 ”对 话 框 ， 简 要 介绍 了 Active 
Directory 权限 管理 服务 的 作用 以 及 功能 ， 如 图 9-3 所 示 。 


| | 
图 9-2 安装 RMS 及 IIS 服务 器 图 9-3 AD RMS 简介 


(04 在 “选择 角色 服务 ”对 话 框 ， 保 持 默认 值 ( Active Directory 权限 管理 服务 器 ) ， 如 图 9-4 
所 示 。 

0g 在 “创建 或 加 入 AD RMS 群集 ”对 话 框 ， 选中“ 新建 AD RMS 群集 ” 单 选 按钮 ， 如 
图 9-5 所 示 。 由 于 当前 域 中 没有 其 他 AD RMS 群集 可 供 加 入 ， 所 以 “加 入 现 有 AD RMS 群集 ” 单 
选 按钮 为 灰色 。 安 装 完成 后 创建 的 第 一 台 AD RMS 服务 器 即 为 根 服务 器 ， 后 来 加 入 的 AD RMS 服 
务 器 为 叶 服 务 器 。 


架 选择 前 色 服务 
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图 9-4 选择 角色 服务 图 9-5 创建 AD RMS 群集 
to@j 在 “选择 配置 数据 库 ” 对 话 框 ， 选 中 “在 此 服务 器 上 使 用 Windows 内 部 数据 库 ” 单 选 按 


钮 ， 如 图 9-6 所 示 。 
QZ 在 “指定 服务 账户 "对话 框 , 单 击 “ 指 定 "按钮 , 在 弹出 的 对 话 框 中 , 输入 账户 名 rms-services 
及 密码 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 9-7 所 示 。 
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| 
9-6 选择 配置 数据 库 图 9-7 指定 服务 账户 


8| 在 “配置 AD RMS 群集 键 存 储 ” 对 话 框 ， 如 图 9-8 所 示 。 默 认 选 择 “使 用 AD RMS 集中 
管理 的 密 钥 存储 ” 单 选 按钮 ， 即 由 本 地 服务 器 自动 生成 并 存储 密 铀 ， 该 密 钥 主 要 用 于 当前 根 服务 器 
以 及 将 来 叶 服务 器 的 灾难 恢复 ， 必 须 牢记 。 而 “使 用 CSP 密 钥 存储 ”选项 则 需要 由 专用 加 密 服 务 
器 产生 并 保管 该 密 钥 ， 比 较 繁琐 ， 但 安全 性 也 相对 较 高 。 

to9| 在 “指定 AD RMS 群集 密 钥 密 码 ” 对 话 框 ， 设 置 其 他 AD RMS 服务 器 加 入 群集 时 要 使 
用 的 密码 ， 必 须 妥善 保存 并 记 住 该 密码 ， 如 图 9-9 所 示 。 
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9-8 配置 AD RMS 群集 键 存储 图 9-9 指定 AD RMS 群集 密 钥 密 码 


蜡 gj 在 “选择 AD RMS 群集 网 站 ”对 话 框 ， 选 择 管理 AD RMS 群集 服务 器 时 使 用 的 站 点 ， 
在 准备 工作 中 必须 安装 IIS 就 是 为 了 在 本 地 创建 该 站 点 ， 保 持 默认 即 可 ， 如 图 9-10 所 示 。 

型 划 在 “指定 群集 地 址 ”对 话 框 ， 选 择 “使 用 SSL 加 密 的 连接 ” 单 选 按钮 ， 并 在 “内 部 地 址 ” 
文本 框 中 输入 当前 服务 器 的 DNS 名 称 ， 在 本 例 中 为 dc-heinfo .local， 然 后 单 击 “验证 ”按钮 ， 验 证 
之 后 才 可 以 进行 下 一 步 的 安装 ， 如 图 9-11 所 示 。 

开间 在 “选择 SSL 加 密 的 服务 器 身份 验证 证 书 ”对 话 框 ， 选 择 SSL 网 站 所 使 用 的 证 书 。 如 果 
网 络 中 有 “证 书 服务 器 ”, 可 以 为 该 网 站 申请 一 个 “服务 器 证 书 ”, 如 果 网 络 中 没有 “证 书 服务 器 ”， 
则 选择 “为 SSL 加 密 创建 自 签名 证 书 ” 单 选 按钮 ， 如 图 9-12 所 示 。 如 果 在 图 9-11 所 示 对 话 框 中 ， 
选择 “使 用 未 加 密 的 连接 ” 单 选 按钮 ， 则 不 会 出 现 图 9-12 所 示 的 对 话 框 。 


使 用 RMS 保护 企业 内 部 的 Office 文档 第 9 党 


圳 选择 An mas 群 革 网 站 
Pe fF Tree BE ANE, SEHR 
I 


EET rn | 屿 


com [sum] 2 |_ ma 


图 9-10 选择 AD RMS 群集 网 站 


访 选择 SSL 加 密 的 服务 器 身份 验证 证 书 


9-11 指定 群集 地 址 


图 9-12 选择 SSL 加 密 的 服务 器 身份 验证 证 书 
|] 在 “命名 服务 器 许可 方 证 书 ” 对 话 框 ， 


ET 8 | 


将 为 AD RMS 服务 器 创建 一 个 证 书 ， 证 书 的 名 称 


也 是 服务 器 的 计算 机 名 称 ， 在 此 修改 为 域 的 DNS 名称 dc.heinfo.local， 如 图 9-13 所 示 。 


4 在 “ 


注册 AD RMS 服务 连接 点 ”对 话 框 ， 选 择 “ 立 即 注册 AD RMS 服务 连接 点 ” 单 选 


按钮 ， 在 安装 完成 后 立即 开始 使 用 此 AD RMS 群集 ， 如 图 9-14 所 示 。 
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图 9-14 注册 AD RMS 服务 连接 点 
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型 色 在 “确认 安装 选择 ”对 话 框 ， 单 击 “ 安 装 ” 按 钮 即 可 开始 安装 ， 如 图 9-15 所 示 。 完 成 后 
显示 如 图 9-16 所 示 “ 安 装 结果 ”对 话 框 ， 提 示 安 装 成 功 。 


xpo| | | 9) sr a] | 
图 9-15 确认 安装 选择 图 9-16 安装 结果 


如 图 9-16 所 示 , 提示 用 户 在 安装 成 功 之 后 , 必须 “注销 ”并 重新 登录 , 才 可 以 管理 AD RMS。 所 以 ， 
须 注销 当前 管理 员 账户 并 重新 登录 ， 等 再 次 登录 之 后 继续 下 面 的 操作 。 如 果 安 装 AD RMS 服务 器 时 出 现 
错误 ,可 参照 本 文 后 面 “9.6 印 载 AD RMS 服务 器 端 ” 节 的 内 容 , 在 卸载 AD RMS 服务 器 及 Web 服务 器 
之 后 ， 再 次 安装 ， 直 到 安装 成 功 。 


9.2.3 添加 AD RMS 服务 器 群集 
在 第 一 次 使 用 AD RMS 服务 器 时 ， 需 要 配置 AD RMS 服务 器 群集 ， 步 骤 如 下 。 


和 打开 “服务 器 管理 器 ”窗口 ,定位 到 “角色 一 Active Directory Rights Management Services”， 
在 右 侧 的 “详细 警告 信息 ” 窗 格 中 单 击 “ 刷 新 ”按钮 ， 如 图 9-17 所 示 。 

to3 在 “指定 连接 的 用 户 密码 ”对 话 框 ， 确 认 在 “连接 协议 ”选项 组 中 ，“URI 方 ” 下 拉 列 
表 中 选择 的 是 HTTPS，“ 端 口号 ”微调 按钮 处 是 443， 然 后 单 击 “ 完 成 ”按钮 ， 如 图 9-18 所 示 。 
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图 9-17 刷新 图 9-18 指定 连接 的 用 户 密码 
03j 在 弹出 的 “安全 警报 ”对 话 框 中 单 击 “ 查 看 证 书 ”按钮 ， 如 图 9-19 所 示 。 
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to 级 由 于 我 们 选择 的 是 “ 自 签名 证 书 ”， 所 以 该 证 书 的 “ 根 目录 证 书 ” 不 受信 任 。 为 了 避免 
每 次 连接 AD RMS 群集 时 出 现 图 9-20 的 提示 ， 我 们 可 以 将 自 签名 的 “ 根 目录 证 书 ” 添 加 到 本 地 信 
任 列表 中 。 在 “证 书 ” 对 话 框 中 单 击 “安装 证 书 ” 按 钮 ， 如 图 9-20 所 示 。 
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图 9-19 查看 证 书 图 9-20 ”安装 证 书 
log 在 “证 书 存储 ”对 话 框 中 ， 选 择 “ 将 所 有 的 证 书 放 入 下 列 存 储 ” 单 选 按钮 ， 单 击 “ 浏 览 ” 
按钮 ， 在 弹出 的 “选择 证 书 存储 ”对 话 框 中 , 选择 “受信 任 的 根 证 书 颁发 机 构 ” 选 项 ， 然 后 单 击 “ 确 
定 ” 按 钮 ， 如 图 9-21 所 示 。 
to8@j 在 “正在 完成 证 书 导 入 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 9-22 所 示 。 在 随后 弹 
出 的 “安全 性 警告 ”提示 框 中 ， 单 击 “是 ”按钮 。 


正在 完成 证 书 导入 向 导 


"RR" BND 
> Ti 时。 


多 二 TY 
所 容 本 


下 二 ] 
图 9-21 添加 证 书 到 受信 任 的 根 证 书 颁 发 机 构 图 9-22 完成 证 书 导 入 向 导 

0 返回 到 图 9-20 的 “证 书 ” 对 话 框 ， 单 击 “ 确 定 ”按钮 ， 再 次 返回 到 “安全 警报 ”对 话 框 ， 
如 图 9-19 所 示 ， 单 击 “ 是 ”按钮 ， 完 成 添加 AD RMS 服务 器 群集 ， 如 图 9-23 所 示 。 

添加 完 AD RMS 服务 器 群集 之 后 ， 不 再 需要 其 他 配置 即 可 使 用 。 下 面 我 们 通过 具体 的 实验 ， 
测试 使 用 AD RMS 服务 器 保护 网 络 中 的 Office 文档 的 内 容 。 我 们 将 使 用 如 图 9-24 所 示 的 网 络 拓扑 
进行 测试 。 


让 是 莉 认 机 构 
atvs Mrsstory 用 站 旬 
ED 
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AD Rus 有 加 
这 时 本 考 全 认 再 的 起 点 。 郡 全 中 的 所 有 卫 务 莹 共享 忆 本 再 和 | 轨 本 > 
ng 届 日 去 记录 到 拓 庄 ” 


芭 _ 一 | 可 


-一 王 


下 


Windows 2008 AD RMS 服 务 器 Windows 7 Windows XP 
域名 :heinfo. local Office 2010 Office 2003 
计算 机 名 :dc. heinfo. local 。 “已 集 成 RMS 客 户 端 ) 安装 RMS 客户 端 


图 9-24 ”实验 拓扑 
9.2.4 ”添加 RMS 测试 用 户 


为 了 实现 图 9-24 的 内 容 , 我们 需要 在 Active Directory 中 创建 两 个 用 户 并 为 两 个 用 户 指定 邮箱 。 
注意 ,在 采用 AD RMS 进行 文档 保护 时 ， 必 须要 为 用 户 指定 邮箱 。 在 本 例 中 ， 这 两 个 用 户 在 图 9-1 
中 已 经 创建 ， 分 别 是 显示 名 为 “ 张 三 ”、 登 录 名 为 mns1， 显 示 名 为 “ 李 四 ”、 登 录 名 为 rms2 的 用 
户 。 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 找 到 这 两 个 用 户 ， 在 “常规 ”选项 卡 中 分 别 为 张 
三 、 李 四 指定 “电子 邮件 ”地 址 ， 张 三 的 为 zhangsan@msft.com、 李 四 的 为 lisi@msftcom， 如 
图 9-25、 图 9-26 所 示 。 


加 后 性 Ga 

摊 和 | 环境 | 二 天 二 搓 X 1 检 人 本 
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9-25 ”为 张 三 指 定 邮 箱 图 9-26 为 李 四 指 定 邮箱 
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经 过 上 述 设置 , 就 可 以 测试 使 用 AD RMS 保护 文档 了 。 我 们 分 别 在 Windows 7+Office 2010 与 
Windows XP + Office 2003 上 进行 测试 。 


9.3 在 Windows 7 客户 端 测试 RMS 


在 Office 2010 中 ， 已 经 集成 了 RMS 的 客户 端 程序 。 默 认 情况 下 ， 只 要 打开 文档 ， 对 打开 的 文 
档 进行 “限制 ” 即 可 以 体验 到 RMS 功能 。 我 们 将 用 下 面 的 步骤 进行 测试 。 


QO 以 “ 张 三 ”的 身份 登录 ， 对 文档 进行 保护 、 限 制 。 将 文档 保存 在 其 他 用 户 能 访问 的 地 址 。 

log 注销 “ 张 三 ”， 以 “ 李 四 ” 的 身份 登录 ， 打 开 上 一 步 “ 张 三 ”保护 的 文档 ， 看 能 否 实现 
相应 的 功能 。 
9.3.1 以 张 三 身 份 登录 并 保护 文档 

在 已 经 加 入 到 Active Directory 的 Windows 7 中 ， 以 张 三 的 身份 登录 ， 对 一 个 文档 进行 限制 ， 
操作 步骤 如 下 。 


tQ 出 以 张 三 的 身份 登录 (用 户 登 录 名 为 mnsl ) 到 域 ， 如 图 9-27 所 示 。 
3 用 Office 2010 打开 一 个 文档 ， 然 后 单 击 “文件 ”菜单 ， 定 位 到 “信息 一 保护 文档 一 按 人 


员 限 制 权限 一 管理 凭据 ”， 如 图 9-28 所 示 。 


-CD 
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sm 
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9-27 ”以 张 三 的 用 户 名 登录 图 9-28 管理 凭据 


IQ3) 首先 会 弹出 “安全 警报 ”提示 框 ， 如 图 9-29 所 示 。 

to 级 出 现 图 9-29 的 提示 ， 仍 然 是 证 书 的 原因 。 单 击 “查看 证 书 ” 按 钮 ， 在 弹出 的 “证 书 ” 对 
话 框 中 ， 在 “常规 ”选项 卡 中 ， 单 击 “ 安 装 证 书 ” 按 钮 ， 并 将 其 安装 到 “受信 任 的 根 证 书 颁发 机 构 ” 
中 ， 如 图 9-30 所 示 。 
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权限 
ENE 
访 | 


用 文件 


二 5] CE [aero| 


9-29 ”安全 警报 


图 9-30 ”安装 证 书 到 受信 任 的 根 证 书 颁发 机 构 


四 5 在 弹出 的 “安全 性 警告 ”提示 框 中 ， 单 击 “ 是 ”按钮 ， 安 装 该 证 书 ， 如 图 9-31 所 示 。 

io@j 返回 到 如 图 9-29 所 示 的 “安全 警告 ”提示 框 ， 单 击 “ 是 ”按钮 ， 以 后 再 使 用 该 用 户 名 登 
录 时 ， 将 不 会 出 现 该 提示 。 

0g 在 弹出 的 “Windows 安全 ”对 话 框 中 ， 使 用 “ 张 三 ” 的 用 户 名 rmsl 及 密码 登录 ， 并 选中 
“ 记 住 我 的 凭据 ” 复 选 框 ， 如 图 9-32 所 示 。 
[ee 本 | 


SOHN Ee 


证 世 是 可 来 中 "dcheinfaJocah 下 证 与 
“de heinfoJocah 联系 ,i 光 汪 书 守 下 下 下 字 兴 在 比 和 入 对 宅 
有 


| 


Bs Wor ema cms 号 
Cs J | 
图 9-31 确认 安装 根 证 书 图 9-32 输入 用 户 名 与 密码 


8 在 “选择 用 户 ” 对 话 框 中 ， 选 中 “始终 使 用 此 账户 ” 复 选 框 ， 如 图 9-33 所 示 。 
四 9 在 “权限 ”对 话 框 中 ， 选 中 “限制 对 此 文档 的 权限 ” 复 选 框 ， 分 别 有 “ 读 取 ” 与 “更 改 ” 
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权限 。 如 果 要 添加 用 户 的 权限 ， 可 以 在 “ 读 取 ” 与 “更 改 ” 文 本 框 中 ， 分别 输 入 要 添加 的 用 户 ( 添 
加 用 户 对 应 的 邮箱 , 在 类 似 图 9-25、 图 9-26 中 指定 的 邮箱 ) ; 如 果 要 允许 “所 有 人 ”, 请 单 击 “ 串 ” 
按钮 添加 ， 如 图 9-34 所 示 ， 在 “ 读 取 ”列表 中 添加 了 “所 有 人 ”。 然 后， 单 击 “ 其 他 选项 ”按钮 。 


| 
EEC | [EGG | 
MM 邮 ) 


Es) 
图 9-33 ”始终 使 用 此 账户 


加 0 在 弹出 的 “权限 ”对 话 框 中 ， 在 “以 下 用 户 


CE :| 
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en 


ER 
有 
nt on 


名 名 


的 


EE 蕊 本 
图 9-34 权限 
具有 访问 此 文档 的 权限 ”列表 框 中 ， 显 示 了 


允许 的 用 户 及 对 应 的 权限 。 如 果 要 更 改 权限 ， 在 “访问 级 别 ” 列 表 中 ， 选 中 一 个 权限 再 单 击 即 出 现 
修改 下 拉 按 钮 。 在 “用 于 用 户 的 附加 权限 ”选项 组 中 ， 列 出 了 其 他 的 权限 。 例 如 ， 如 果 选 中 “此 文 
档 的 到 期 日 期 为 ” 复 选 框 ， 将 限制 文档 的 使 用 期 限 ， 当 时 间 到 达 此 指定 期 限 后 (以 Active Directory 
域 服务 器 时 间 为 准 ), 除了 “完全 控制 ”权限 的 所 有 者 , 其 他 用 户 将 不 能 打开 该 文档 。 如 果 选 中 “ 打 
印 内 容 ” 复 选 框 ， 则 允许 用 户 使 用 “打印 机 ”将 该 文档 打印 出 来 ， 如 图 9-35 所 示 。 

加 加 如 果 要 添加 其 他 用 户 ， 则 在 图 9-35 中 单 击 “添加 ”按钮 ， 在 弹出 的 “添加 用 户 ” 对 话 框 
中 ， 以 邮箱 的 格式 添加 其 他 用 户 ， 在 此 添加 lisi@msft.com， 如 图 9-36 所 示 。 
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图 9-35 权限 


如 果 要 添加 多 个 用 户 ， 须 用 逗号 “, ”分 隔 。 


所 入 ] 
Te 


Sa 
Came Cun 


图 9-36 ”添加 用 户 


亨 到 添加 之 后 ， 返 回 到 “权限 ”对 话 框 ， 在 “访问 级 别 ” 列 表 中 ， 修 改 用 户 的 访问 权限 。 可 
以 在 “ 读 取 、 更 改 、 完 全 控制 ”之 间 更 改 ， 如 图 9-37 所 示 。 设 置 之 后 单 击 “ 确 定 ”按钮 。 


对 于 “用 于 用 户 的 附加 权限 ”设置 ， 如 果 单 击 “ 设 置 默认 值 ”按钮 ， 则 以 后 该 用 户 打开 其 他 文档 进 
行 限制 时 ， 默 认 将 会 是 该 设置 。 


第 2 篇 Active Directory 网 络 管理 与 应 用 


ij 设置 权限 之 后 ， 返 回 到 “开始 ”选项 卡 ， 可 以 看 到 “限制 访问 ”的 提示 ， 如 图 9-38 所 示 。 
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图 9-37 更 改 权限 9-38 ”限制 访问 


然后 将 该 文档 保存 到 C 盘 根 目录 ， 注 销 “ 张 三 ”用 户 。 接 下 来 为 使 用 “ 李 四 ” 用 户 查 看 受 保 
护 的 文档 。 


9.3.2 ”以 李 四 身份 登录 并 查看 受 保护 文档 
本 小 节 使 用 李 四 的 身份 登录 ， 并 打开 图 9-38 中 保存 的 文档 ， 查 看 受 RMS 保护 的 文档 ， 主 要 步 
又 如 下 。 


和 以 李 四 身 份 登录 ， 如 图 9-39 所 示 。 

to3 打开 图 9-38 中 保存 的 文档 ， 第 一 次 使 用 的 时 候 ， 会 出 现 9.3.1 小 节 中 图 9-29 中 的 提示 。 
可 按照 9.3.1 小 节 步 又 3~5 的 操作 ， 安 装 根 证 书 ， 然 后 弹出 “Windows 安全 ”对 话 框 ， 输 入 李 四 
的 用 户 名 登录 ， 如 图 9-40 所 示 。 
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ee 
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图 9-39 ”以 李 四 身份 登录 9-40 ”以 rms2 的 用 户 名 登录 


03) 在 弹出 的 “Microsoft Office” 对 话 框 中 ， 提 示 “ 此 文档 的 权限 已 被 限制 ”， 选 中 “不 再 
显示 此 消息 ” 复 选 框 ， 如 图 9-41 所 示 。 
ti 网 打开 文档 之 后 ， 会 弹出 “限制 访问 ”的 提示 ， 单 击 “ 查 看 权限 ”按钮 ， 如 图 9-42 所 示 。 
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图 9-41 ”此 文档 的 权限 当前 已 被 限制 图 9-42 坦 看 权限 
如 图 9-42 所 示 ,“ 保 存 ” 按 钮 是 “灰色 ”的 ， 并 且 在 该 文档 中 不 允许 “复制 ”等 操作 。 


io 色 在 弹出 的 “我 的 权限 ”对 话 框 中 ， 显 示 了 当前 用 户 对 该 文档 的 权限 ， 如 图 9-43 所 示 。 


9-43 ”我 的 权限 


9.4 在 Windows XP 客户 端 测试 RMS 


如 果 AD RMS 客户 端 运行 在 Windows 2000 或 Windows XP SP1、SP2 系统 ， 则 必须 安装 客户 
端 程序 ， 否 则 在 使 用 Office 2003 的 时 候 ， 如 果 选 择 “ 文 件 一 权限 一 限制 权限 为 ”选项 (如 图 9-44 
所 示 ) ， 则 会 弹出 “Microsoft Office” 的 对 话 框 ， 提 示 安 装 客户 端 程序 ， 单 击 “ 是 ”按钮 即 开始 下 
载 RMS 的 客户 端 ， 如 图 9-45 所 示 。 
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图 9-45 RMS 信息 
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户 也 可 以 从 http://r.office.microsoft.conmyr/rlidInstallDRMClient?clid=2052 下 载 RMS 的 客户 
端 。RMS 客户 端的 安装 比较 简单 ， 完 全 安装 默认 值 即 可 完成 安装 ， 如 图 9-46、 图 9-47 所 示 。 
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图 9-46 安装 RMS 客户 端 图 9-47 安装 完成 


在 安装 了 RMS 客户 端 之 后 ， 就 可 以 使 用 RMS 服务 器 创建 或 打开 受 RMS 保护 的 文档 了 。 

但 是 ， 由 于 Office 2003 使 用 的 定义 文件 (用 于 启用 IRM 功能 ) 中 的 许可 证 过 期 日 期 信息 设 
置 为 2009 年 12 月 10 日 。 所 以 ， 从 2009 年 12 月 11 日 开始 ， 使 用 Office 2003 的 客户 将 无 法 打 
开 由 Active Directory Rights Management Service (AD RMS ) 或 Rights Management Services (RMS) 
保护 的 Office 2003 文档 。 用 户 还 需要 从 http://support.microsoft.com/kb/978551/zh-cn 下 载 
office2003-KB978551-FullFile-ENU.exe， 安 装 之 后 ， 才 可 以 使 用 RMS。 该 程序 的 安装 也 比较 简单 ， 
完全 按照 默认 值 即 可 完成 安装 ， 如 图 9-48、 图 9-49 所 示 。 
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9-48 安装 KB978551 补丁 
9.4.1 在 Windows XP 中 以 张 三 身 份 登录 
本 小 节 将 介绍 使 用 Office 2003 创建 受 RMS 保护 文档 的 操作 ， 主 要 步骤 如 下 。 


0 和 以 mmsl 的 用 户 名 登录 ， 如 图 9-50 所 示 。 
四 打开 Word 2003， 在 “文档 ”菜单 中 选择 “权限 一 限制 权限 为 ”选项 ， 如 图 9-51 所 示 。 


使 用 RMS 保护 企业 内 部 的 Office 文档 第 9 党 


a 
«Bes 


9-50 ”以 rmsl 登录 9-51 限制 权限 为 


3) 用 域 用 户 名 mmsl 登录 ， 并 选中 “ 记 住 我 的 密码 ” 复 选 框 ， 如 图 9-52 所 示 。 
io 级 在 “选择 用 户 ” 


图 9-52 ” 记 住 我 的 密码 图 9-53 ”始终 使 用 此 账户 
四 5 在 “权限 ”对 话 框 中 ， 选 中 “限制 对 此 文档 的 权限 ” 复 选 框 ， 并 单 击 “ 其 他 选项 ”按钮 ， 
如 图 9-54 所 示 。 
to8j 在 打开 的 “权限 ”对 话 框 中 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 9-55 所 示 。 从 “以 下 用 户 具有 访 
问 此 文档 的 权限 ”列表 中 可 以 看 到 ， 只 有 当前 用 户 才能 访问 该 文档 。 


CC 


图 9-54 其 他 选项 图 9-55 只 允许 自己 访问 
io 到 返回 到 编辑 状态 后 ， 向 文档 中 添加 一 些 文字 ， 如 图 9-56 所 示 。 然 后 将 文档 保存 到 C 盘 根 
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目录 。 


08j 注销 当前 用 户 。 
9.4.2 在 Windows XP 中 以 李 四 身 份 登录 并 查看 文档 
本 小 节 以 李 四 (rms2) 身份 登录 ， 查 看 9.4.1 小 节 ( 张 三 ，rms1) 保存 的 文档 ， 主 要 步骤 如 下 。 


和 以 mms2 的 用 户 名 登录 ， 如 图 9-57 所 示 。 
to3 打开 图 9-56 中 保存 的 文档 ， 首 先 会 弹出 “连接 到 dcheinfo.local” 的 对 话 框 ， 输 入 用 户 名 
rms2 及 密码 ， 如 图 9-58 所 示 。 
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图 9-57 以 rms2 登录 图 9-58 ”以 李 四 身 份 登录 
03) 此 时 会 弹出 “您 没有 允许 打开 文档 的 凭据 ”对 话 框 ， 如 图 9-59 所 示 。 


rr 过 。 您 可 从 zhangsanaasft com 请 求 更 新 权限 .| 


和 rd 
名 


[Baw [WE 
图 9-59 不 能 打开 文档 
io 级 如 果 尝 试 使 用 其 他 方式 打开 该 文档 (如 图 9-60 所 示 ) , 例如， 通过 “写字 板 ” 打 开 (如 
图 9-61 所 示 ) 。 
iog 用 “写字 板 ” 打 开 RMS 保护 的 文档 后 ， 只 会 显示 “对 此 文档 的 权限 当前 受到 限制 ”等 
信息 ， 如 图 9-62 所 示 。 
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某 些 “ 电 子 签 章 ” 软 件 保护 的 word 文档 ， 使 用 word 软件 打开 时 ,会 出 现 其 所 控制 的 内 容 ( 不 允许 
修改 、 查 看 等 ) ， 但 使 用 其 他 软件 ( 例如 图 中 的 “写字 板 ” ) 打开 时 ， 就 会 看 到 受 保护 的 文档 内 容 。 目 
前 ， 只 有 RMS 保护 的 文档 ， 才 能 达到 管理 员 或 单位 主管 所 的 安全 要 求 ， 其 他 第 三 方 软件 都 不 能 有 效 保 护 
文档 。 


9.5 配置 AD RMS 服务 器 端 


前 面 已 经 提 到 过 ， 基 本 情况 下 ， 不 需要 对 AD RMS 服务 器 做 进一步 限制 即 可 使 用 。 但 是 ， 如 
果 想 要 对 AD RMS 服务 器 端 做 进一步 的 了 解 ， 须 从 “开始 一 管理 工具 ”中 执行 “Active Directory 
Rights Management Services”， 打开 Active Directory Rights Management Services 管理 单元 ， 继 续 下 
面 的 内 容 。 
9.5.1 配置 信任 策略 


信任 策略 是 不 同 AD RMS 群集 或 不 同 域 林 中 的 AD RMS 服务 器 之 间 建 立信 任 关系 的 惟一 标 
准 ， 主 要 包括 “受信 任 的 用 户 域 ”和 “受信 任 的 发 布 域 ”。 
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1. 受信 任 的 用 户 域 

默认 情况 下 ， 只 有 受信 任 的 用 户 域 才 可 以 使 用 当前 AD RMS 服务 器 提供 的 权限 保护 服务 ， 不 
同 AD RMS 群集 或 不 同 林 中 的 RMS 服务 器 都 是 通过 彼此 的 许可 证 书 识 别 的 ,用户 可 以 通过 将 其 他 
AD RMS 群集 中 的 信任 用 户 域 导出 ， 并 添加 至 本 地 服务 器 中 ， 来 实现 对 其 他 用 户 提供 权限 管理 服 
务 。 导 出 的 信任 用 户 域 文件 中 会 包括 原 AD RMS 服务 器 的 许可 证 信息 ， 因 此 建立 信任 关系 后 ， 来 
自 该 域 的 用 户 就 可 以 使 用 当前 AD RMS 服务 器 提供 的 使 用 许可 证 。 


ti 是 在 AD RMS 控制 台 窗 口中 ， 定 位 到 “信任 策略 一 受信 任 的 用 户 域 ”， 如 图 9-63 所 示 。 
在 “受信 任 的 用 户 域 信息 ”列表 中 默认 显示 的 是 本 地 用 户 域 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ” 选 
项 即 可 查看 其 详细 信息 。 


图 9-63 ”受信 任 的 用 户 域 


io 到 在 图 9-63 右 侧 的 “操作 ” 栏 中 ， 单 击 “导入 受信 任 的 用 户 域 ” 链 接 ， 显 示 如 图 9-64 所 
示 “ 导 入 受信 任 的 用 户 域 ”对 话 框 ， 在 “受信 任 的 用 户 域 文件 ”文本 框 中 输入 文件 的 保存 路 径 ， 或 
单 击 “ 浏 览 ”按钮 进行 选择 ; 在 “显示 名 称 ” 文 本 框 中 ， 输 入 该 用 户 将 在 列表 中 显示 的 名 称 ， 用 来 
进行 标识 。 


3 se 


图 9-64 导入 受信 任 的 用 户 域 


.334 。 
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io 引 单 击 “ 完 成 ”按钮 ， 即 可 完成 用 户 域 的 添加 。 重 复 操作 ， 可 添加 多 个 受信 任 的 用 户 域 。 


在 “受信 任 的 用 户 域 信息 ”列表 中 ， 右 击 用 户 域 并 选择 快捷 菜单 中 的 “导出 受信 任 的 用 户 域 ”选项 ， 


还 可 以 将 其 导出 ， 以 备 本 地 恢复 使 用 ; 也 可 以 导入 到 其 他 AD RMS 群集 中 ， 用 于 接受 其 他 AD RMS 服务 
器 的 权限 许可 证 。 


2. 受信 任 的 发 布 域 


在 AD RMS 控制 台 窗 口中 ， 单 击 “ 受 信任 的 发 布 域 ”选项 将 显示 如 图 9-65 所 示 “ 受 信任 的 发 
布 域 信息 ”窗口 。 

受信 任 的 发 布 域 用 于 定义 哪些 AD RMS 群集 发 布 的 许可 证 可 以 受到 此 群集 的 信任 ， 与 受信 任 
的 用 户 域 恰恰 相反 , 列表 中 默认 存在 的 是 本 地 服务 器 的 记录 。 受信 任 的 发 布 域 文件 的 导出 和 导入 与 
受信 任 的 用 户 域 文件 类 似 , 不 同 的 是 发 布 域 文件 的 类 型 为 XML， 其 中 包括 将 要 信任 的 AD RMS 服 
务 器 许可 方 证 书 、 群 集 密 钥 和 模板 等 信息 。 另 外 ， 发 布 域 文件 本 身 是 受 密码 保护 的 ， 导 入 时 必须 输 
入 原 AD RMS 服务 器 上 使 用 的 存储 密码 。 
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图 9-65 ”受信 任 的 发 布 域 
9.5.2 配置 权限 策略 模板 


使 用 Active Directory Rights Management Services 控制 台 ， 可 配置 权限 策略 模板 。 配 置 权 限 策 
略 模板 后 ,这 些 模 板 将 存储 在 配置 数据 库 和 可 选 的 共享 文件 夹 中 。 权限 策略 模板 用 于 控制 用 户 或 组 
对 受权 限 保护 的 特定 内 容 所 具有 的 权限 。AD RMS 在 配置 数据 库 中 存储 权限 策略 模板 ， 或 者 ， 在 
用 户 指定 的 共享 文件 夹 中 保留 所 有 权限 策略 模板 的 副本 。 


1. 创建 权限 策略 模板 

机 密 程度 不 同 的 文档 发 布 到 客户 端 后 设置 的 权限 也 有 所 不 同 ,此 时 就 需要 为 该 文档 应 用 不 同 级 
别 权限 的 策略 模板 。 权 限 策略 模板 是 为 定义 用 户 的 权限 策略 准备 的 , 管理 员 可 以 通过 定制 一 些 现成 
的 策略 模板 让 企业 用 户 直接 调用 。 


to 出 在 “AD RMS 控制 台 ” 窗 口中 ， 单 击 “权限 策略 模板 ”选项 ， 显 示 如 图 9-66 所 示 “ 分 布 
式 权限 策略 模板 ”窗口 。 
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图 9-66 “分布 式 权限 策略 模板 


92 单 击 图 9-66 右 侧 “操作 ” 栏 中 的 “创建 分 布 式 权限 策略 模板 ”链接 ， 启 动 创建 向 导 ， 首 
先 显示 如 图 9-67 所 示 的 “添加 模板 标识 信息 ”对 话 框 。 

it 到 单 击 “ 添 加 ”按钮 ， 显 示 如 图 9-68 所 示 “ 添 加 新 的 模板 标识 信息 ”对 话 框 。 在 “语言 
下 拉 列 表 中 选择 客户 端 所 使 用 的 语言 ， 在 “名 称 ” 文 本 框 中 输入 新 建 模板 的 名 称 ， 单 击 “ 添 加 ” 按 
钮 ， 将 其 添加 至 “模板 标识 ”列表 中 。 
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图 9-67 添加 模板 标识 信息 图 9-68 添加 新 的 模板 标识 信息 


四 弛 单 击 “ 下 一 步 ”按钮 ,显示 如 图 9-69 所 示 “ 添 加 用 户 权 限 ” 对 话 框 ， 默认 情况 下 “用 
户 和 权限 ”列表 是 空 的 ， 即 只 “授予 所 有 者 不 会 过 期 的 完全 控制 权限 ”， 其 他 用 户 账户 没有 任 
何 权限 。 

05) 单 击 “ 添 加 ”按钮 ， 显 示 如 图 9-70 所 示 “ 添 加 用 户 或 组 ”对 话 框 。 选 择 “用 户 或 组 的 电 
子 邮件 地 址 ” 单 选 按钮 ， 即 可 在 下 面 的 文本 框 中 输入 用 户 对 应 的 电子 邮件 地 址 ， 或 者 单 击 “ 浏 览 ” 
按钮 从 域 中 查找 添加 。 如 果 选 择 “任何 人 ” 单 选 按钮 ， 则 对 当前 域 中 的 所 有 用 户 账户 有 效 。 


-336° 
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图 9-69 添加 用 户 权限 图 9-70 添加 用 户 或 组 


如 果 要 添加 用 户 , 应 事先 在 域 控制 器 上 , 打开 用 户 属性 对 话 框 , 为 用 户 添加 电子 邮件 地 址 , 如 图 9-71 
所 示 。 同 样 ， 如 果 要 添加 用 户 组 ， 也 要 打开 用 户 组 属性 ， 添 加 电子 邮件 地 址 ， 如 图 9-72 所 示 。 


[a 2 
» 认可 | 成 | 科 后 于 | 管理 | 
LE 本 型 EDL 
mm ee em te 
一 CT 
Te 
EBPO 关  ， ，，，，， 贡 0. 
ee 
PEIN Tm 

Ci ] wm | enw) 区 TS 
图 9-71 添加 用 户 电子 邮件 地 址 图 9-72 添加 用 户 组 电子 邮件 地 址 


0@j 单 击 “ 确 定 ”按钮 ， 将 所 选用 户 添加 至 列表 中 ， 如 图 9-73 所 示 。 重 复 操作 ， 可 添加 多 个 
用 户 或 组 的 电子 邮件 地 址 。 然后， 在 “用 户 和 权限 ”列表 中 ， 选 择 赋予 用 户 的 权限 ， 例 如 ， 要 求 做 
到 “禁止 复制 ”， 则 只 选择 “查看 权限 ” 复 选 框 即 可 。 

四 本 单 击 “下 一 步 ” 按 钮 显示 如 图 9-74 所 示 的 “指定 过 期 策略 ”对 话 框 。 在 “内 容 有 效 期 
限 ” 选 项 区 域 中 ， 可 以 定义 当前 模板 中 的 权限 信息 何 时 过 期 或 有 效 期 限 等 ， 默 认为 “ 永 不 过 期 ”。 
内 容 过 期 后 ， 如 果 仍 需要 使 用 该 策略 信息 ， 则 必须 重新 发 布 一 次 。 


“权限 请 求 URL” 是 当 模 板 赋予 用 户 的 权限 无 法 完成 相应 工作 , 或 在 模板 权限 规定 的 时 间 和 日 期 内 


没有 完成 工作 时 ， 用 户 可 以 通过 此 URL 继续 向 管理 员 发 出 权限 请 求 ， 以 再 次 获得 权限 或 附加 权限 。 权 限 
列表 中 给 出 的 所 有 权限 都 是 允许 的 ， 即 只 要 选择 某 项 ， 就 表示 要 赋予 用 户 具 有 相应 的 权限 。 
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图 9-73 ”指定 用 户 权限 图 9-74 ”指定 过 期 策略 


tQ8j 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 9-75 所 示 的 “指定 扩展 策略 ”对 话 框 。 在 “使 用 此 模板 
指定 受 保护 内 容 的 其 他 条 件 ” 选 项 组 中 有 3 个 选项 ， 如 下 所 示 : 


e@ “使 用 户 能 够 使 用 浏览 器 加 载 项 查看 受 保护 的 内 容 ”: 该 项 对 于 没有 安装 Office 的 客户 端 
是 非常 实用 的 ， 只 须 安装 相关 插件 即 可 在 浏览 器 中 查看 受 RMS 保护 的 Office 文档 ， 建 议 
选择 该 项 。 

e@ “每 次 使 用 内 容 时 需要 更 新 使 用 许可 证 ( 禁用 客户 端 缓存 ) ”: 该 项 虽然 可 以 使 被 保护 文 
档 更 安全 ， 但 客户 端 每 次 使 用 时 会 非常 繁琐 。 

@ “如 果 您 要 为 启用 AD RMS 的 应 用 程序 指定 其 他 信息 ， 则 可 以 在 此 处 以 名 称 - 值 对 的 形式 
指定 ”: 选中 该 复 选 框 ， 可 在 下 面 的 列表 中 添加 特定 应 用 程序 需要 的 名 称 和 权限 值 ， 普 通 
用 户 无 须 设置 。 

09j 单 击 “下 一 步 ”按钮 ， 显 示 如 图 9-76 所 示 “ 指 定 吊销 策略 ”对 话 框 。 吊 销 是 AD RMS 

的 一 项 重要 功能 ， 实 施 吊 销 之 前 必须 先 手动 创建 一 个 吊销 列表 ， 并 为 每 个 吊销 列表 生成 一 个 公 钥 / 
私 钥 对 ， 然 后 使 用 私 钥 签 署 吊销 列表 ; 另外 ， 还 必须 为 吊销 列表 指定 一 个 用 户 可 以 访问 的 URL 地 
址 或 UNC 路 径 。 通 常情 况 下 ， 不 需要 AD RMS 服务 器 吊销 ， 即 不 选择 该 复 选 框 。 
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图 9-75 “指定 扩展 策略 ”对 话 框 图 9-76 “指定 吊销 策略 ”对 话 框 


加 0 单 击 “ 完 成 ”按钮 ， 退 出 创建 向 导 ， 返 回 “ 权 限 策略 模板 ”窗口 ， 如 图 9-77 所 示 。 新 创 
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建 的 模板 已 经 出 现在 列表 中 ， 此 时 虽然 已 经 创建 成 功 ， 但 并 不 能 立即 应 用 。 
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9-77 权限 策略 模板 创建 成 功 


加 是 选择 新 创建 的 策略 模板 ， 右 击 并 选择 快捷 菜单 中 的 “存档 此 分 布 式 权限 策略 模板 ”选项 ， 
将 其 本 地 存档 ， 显 示 如 图 9-78 所 示 提 示 框 ， 提 示 一 旦 保存 后 ， 将 不 能 再 分 发 或 导出 该 模板 。 

加 2 单 击 “ 是 ”按钮 保存 ， 新 创建 的 权限 策略 模板 保存 到 本 地 模板 库 中 备用 。 返 回 “ 分 布 式 
权限 策略 模板 ”窗口 ， 单 击 “管理 存档 的 权限 策略 模板 ”链接 ， 所 有 已 存档 的 策略 模板 即 可 显示 在 
“公布 式 权限 策略 模板 ”列表 框 中 ， 管 理 员 可 以 继续 修改 和 查看 其 各 项 属性 信息 。 如 图 9-79 所 示 
是 新 建筑 略 模板 的 权限 摘要 。 


存档 权限 策略 模板 本 


© dT 


您 确定 要 存档 此 权限 第 略 模板 时 ? 


aw _| CE 
图 9-78 存档 权限 策略 模板 图 9-79 用 户 权 限 摘要 

2. 分 发 权限 策略 模板 

客户 端 必 须 将 服务 器 上 创建 的 权限 策略 模板 保存 到 本 地 计算 机 才 可 以 使 用 ， 可 以 通过 文件 共 


享 、 网 络 传输 、 移 动 存储 介质 等 方式 获得 。 默 认 情 况 下 ， 权 限 策略 模板 的 保存 位 置 为 “未 设置 ”。 
为 了 便于 保存 和 用 户 使 用 ， 应 在 群集 中 指定 一 个 公共 文件 来， 用 于 保存 所 有 的 策略 模板 。 


to 凤 在 “权限 策略 模板 ”窗口 中 ， 单 击 “ 操 作 ” 栏 中 的 “ 管 
理 分 布 式 策略 模板 ”链接 ,然后 单 击 “ 属 性 ”链接 , 打开 如 图 9-80 nt tne 
所 示 “ 权 限 策略 模板 属性 ”对 话 框 。 Ne 

lg 选择 “启用 导出 ” 复 选 框 ， 在 “指定 模板 文件 位 置 ” 文 【请 
本 框 中 输入 已 经 设置 好 的 共享 文件 夹 路 径 , 如 图 9-81 所 示 。 注意 ， tea on 


这 里 必须 使 用 UNC 格式 , 并且 确定 已 经 为 指定 用 户 账户 赋予 了 写 ee 
入 权限 。 和 

[03) 设置 完成 后 单 击 “ 确 定 ”按钮 。 然 后 ， 单 击 “ 管 理 存 档 
权限 策略 模板 ”链接 ， 选 择 想 要 分 发 的 模板 ， 右 击 并 选择 快捷 菜 le ee 


9-80 ”权限 策略 模板 
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单 中 的 “分 发 此 权限 策略 模板 ”选项 ， 显 示 如 图 9-82 所 示 “ 分 发 权限 策略 模板 ”对 话 框 。 提 示 分 
发 之 后 ， 用 户 便 可 以 使 用 此 模板 发 布 新 内 容 。 
1 


指定 全 术 人 位 于 UN GY; 
Fe mm earemae [本 Br pa 
’ 此 由 换 模 析 之 后 ， 用 户 便 能 够 使 用 此 痢 板 发 布 新 内 


就 确定 要 分 发 此 权 际 第 申 杆 板 吗 ? 


CE ww | enw | wm | av | 
图 9-81 设置 共享 文件 夹 路 径 图 9-82 分 发 权限 策略 模板 


t0 约 单 击 “ 是 ”按钮 确认 即 可 。 


如 果 模 板 是 从 另 一 台 RMS 服务 器 迁移 到 此 RMS 服务 器 上 的 ， 在 使 用 该 模板 之 前 ， 必 须 由 此 服务 器 
签署 ， 然 后 重新 分 发 到 客户 端 。 


3. 撤销 权限 策略 模板 


当 某 个 权限 策略 模板 不 再 适用 时 ， 可 以 将 其 删除 。 删 除权 限 策略 模板 时 ， 同 时 应 删除 用 户 计 
算 机 上 的 该 模板 ， 以 便 用 户 试图 使 用 已 撤销 的 权限 策略 模板 发 布 内 容 时 不 会 出 现 问题 。 当 用 户 使 用 
权限 策略 模板 发 布 内 容 时 , 该 发 布 请 求 将 被 发 送 到 RMS 服务 器 。RMS 将 使 用 数据 库 中 存储 的 该 权 
限 策略 模板 的 副本 来 响应 该 请 求 。 如 果 数 据 库 中 不 存在 该 权限 策略 模板 ， 请 求 将 失败 。 


4. 备份 和 恢复 权限 策略 模板 


要 保护 重要 的 权限 策略 模板 ， 可 以 将 配置 数据 库 中 的 模板 数据 定期 备份 到 媒体 中 ， 并 将 该 媒体 
存放 到 安全 的 地 方 。 这 样 ， 当 系统 发 生 故 障 时 ， 管 理 员 就 可 以 使 用 备份 的 副本 来 恢复 权限 策略 模板 。 


9.5.3 配置 权限 账户 证 书 策略 


权限 账户 证 书 (RAC) 是 AD RMS 服务 器 颁发 给 每 个 客户 的 认证 凭证， 该 证 书 将 用 户 账户 与 
一 个 受 保护 的 密 钥 对 关联 , 而 密 钥 对 则 专用 于 用 户 的 计算 机 。 用户 可 以 通过 这 些 证 书 来 发 布 和 使 用 
受 AD RMS 保护 的 内 容 。 每 个 证 书 都 包含 一 个 公 钥 ， 以 向 用 户 授予 使 用 相关 信息 的 权限 。 


1 在 “AD RMS 控制 侣 ”窗口 中， 在 左 侧 栏 中 单 击 “权限 账户 证 书 策略 ”选项 ， 显 示 如 图 
9-83 所 示 “ 权 限 账户 证 书 策略 ”窗口 。 权 限 账户 证 书 根 据 有 效 期 的 长 短 和 应 用 环境 的 不 同 ， 可 分 
为 标准 RAC 和 临时 RAC. 标准 RAC 的 默认 有 效 期 限 是 365 天 ,通常 应 用 于 固定 用 户 的 计算 机 上 ; 
临时 RAC 的 默认 有 效 期 限 为 15 分 钟 ， 主 要 是 为 了 方便 用 户 在 不 同位 置 都 可 以 使 用 受 AD RMS 保 
护 的 文档 。 
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辐 一 乔 和 个 和 坎 共生 关于 六 李 限 由 户 证 世人 FAC) 前 入 吕 - RAC 标识 如 343 大 经 的 用 
seo 轴 = 
ER a 了 


和 


9-83 ”权限 账户 证 书 策略 


3 权限 账户 证 书 的 有 效 期 限 可 以 根据 实际 需要 更 改 。 单 击 “ 更 改 标准 RAC 有 效 期 ”链接 ， 
显示 如 图 9-84 所 示 “ 权 限 账户 证 书 策略 ”对 话 框 ， 在 “标准 RAC 的 有 效 期 (天 ) ”文本 框 中 输入 
合适 数值 即 可 ， 有 效 期 的 范围 是 1~9 999 天 。 

3 选择 “临时 RAC” 选 项 卡 ， 或 者 在 “权限 账户 证 书 策略 ”窗口 中 单 击 “ 更 改 临时 RAC 
有 效 期 ”链接 ， 也 可 以 更 改 临时 RAC 的 有 效 期 ， 如 图 9-85 所 示 。 


标准 RAC | 必 时 Rhc | 标 RhC 几时 Rc | 
标准 权限 帐户 证 书 CR) 的 有 效 期 可 以 是 介 于 1 到 9, 3 天 的 值 。 :i QUAC) 的 有 效 期 可 以 是 介 于 9 到 500,000 分 钟 
标准 Mc 的 让 效 期 天) GE) [5 “ 习 村 Mc 的 让 效 期 失 ) GD) 二 | 


加 消 后 用 多 帮助 阳 消 [sa 才 助 
9-84 权限 账户 证 书 策略 9-85 临时 RAC 


9.5.4 配置 排除 策略 


排除 策略 的 功能 是 防止 非 授 权 用 户 使 用 AD RMS 服务 ， 可 供用 户 使 用 的 排除 策略 包括 用 户 、 
应 用 程序 、 密 码 箱 版 本 和 Windows 版 本 。 默 认 情 况 下 这 些 策略 都 是 不 启用 的 ， 配 置 之 前 应 先 将 其 
启用 。 排 除 策略 排除 某 个 实体 后 ，AD RMS 服务 器 创建 的 用 户 许可 证 将 在 排除 列表 中 列 出 该 实体 。 
如 果 一 段 时 间 后 决定 删除 某 个 以 前 包含 在 排除 策略 中 的 实体 ， 只 须 在 “排除 策略 ”窗口 的 相应 列表 
中 将 其 删除 即 可 。 任 何 获取 新 证 书 的 请 求 或 授权 请 求 都 不 会 将 该 实体 当 作 已 排除 实体 。 

在 AD RMS 控制 台 窗 口中 ， 选 择 “ 排 除 策略 ”选项 ， 显 示 如 图 9-86 所 示 “ 排 除 策略 ”窗口 ， 
可 以 设置 用 户 、 应 用 程序 、 密 码 箱 及 Windows 版 本 排除 。 


建议 不 要 从 排除 策略 中 删除 实体 , 除非 可 以 确定 在 创建 排除 策略 前 颁发 的 所 有 证 书 都 已 到 期 。 否则， 


新 旧 证 书 都 允许 对 内 容 解密 ， 将 留 下 非常 严重 的 安全 隐患 。 
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9-86 “排除 策略 ”窗口 


1. 用 户 排除 


用 户 账户 排除 可 用 于 排除 已 经 存在 安全 隐患 的 信任 用 户 ， 如 某 用 户 账户 原本 是 可 信 的 ， 但 其 
AD RMS 凭证 不 慎 泄 露 ， 其 他 非 授权 用 户 则 可 能 通过 此 凭证 使 用 受 AD RMS 保护 的 文档 。 此 时 就 
可 以 通过 排除 该 用 户 的 权限 账户 证 书 的 公 钥 来 排除 该 证 书 。 排除 权限 账户 证 书后 ,下 次 该 用 户 试图 
获得 新 内 容 的 用 户 许可 证 时 ， 其 请 求 将 被 拒绝 。 要 获得 用 户 许 可 证 , 该 用 户 必 须 使 用 新 的 密 钥 对 来 
检索 新 的 权限 账户 证 书 。 

要 排除 根 认 证 服务 器 或 群集 上 的 权限 账户 证 书 , 可 以 在 根 认证 服务 器 的 “排除 策略 ”中 指定 用 
户 的 域 账户 , 并 且 应 当 在 通过 注册 子 过 程 注册 的 所 有 服务 器 上 同时 排除 其 权限 账户 证 书 。 用户 排 除 
策略 的 具体 步骤 如 下 所 示 。 


to 在 AD RMS 控制 台 窗口 的 左 侧 栏 中 ， 展 开 “ 排 除 策略 ”， 选 择 “用 户 ”选项 ， 显 示 如 
图 9-87 所 示 窗 口 。 默 认 状 态 下 ， 用 户 排除 为 禁用 状态 。 

92 在 右 侧 的 “操作 ” 栏 中 单 击 “启用 用 户 排 除 ”链接 ， 即 可 启用 用 户 排除 策略 ， 如 图 9-88 
所 示 。 


I 
3 
中 | | 
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图 9-87 用 户 排除 策略 图 9-88 启用 用 户 排除 策略 


it 单 击 “ 操 作 ” 栏 中 的 “排除 用 户 ”链接 ， 显 示 如 图 9-89 所 示 “ 添 加 要 排除 的 用 户 ”对 话 
框 ， 可 以 通过 用 户 名 或 者 用 户 账户 证 书 的 公 钥 字符 串 进 行 排除 。 
四 弛 单 击 “ 完 成 ”按钮 ， 用 户 排除 成 功 。 
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图 9-89 “添加 要 排除 的 用 户 ” 对 话 框 
2. 应 用 程序 排除 


排除 应 用 程序 的 主要 依据 是 应 用 程序 的 类 型 及 版 本 号 范围 。 一 旦 配置 应 用 程序 排除 策略 后 , 将 
在 每 个 用 户 许可 证 中 添加 一 个 条 件 限制 , 即 如 果 请 求 该 许可 证 的 应 用 程序 不 在 已 排除 列表 中 , 那么 
该 许可 证 只 能 绑 定 到 它 所 针对 的 受 AD RMS 保护 的 内 容 。 应 用 程序 排除 在 很 多 情况 下 都 是 非常 实 
用 的 , 通常 情况 下 , 应 用 程序 版 本 越 低 , 其 安全 性 也 越 差 。 通过 应 用 程序 排除 , 就 可 以 限制 AD RMS 
服务 器 为 运行 较 低 版 本 应 用 程序 的 客户 端 提供 许可 证 , 以 保证 文档 内 容 的 安全 。 应 用 程序 排除 的 具 
体 步骤 如 下 所 示 。 


0 在 AD RMS 控制 台 窗 口 的 左 侧 栏 中 ， 展 开 “ 排 除 策略 ”， 选 择 “ 应 用 程序 ”选项 ， 单 击 
“启用 应 用 程序 排除 ”链接 ， 即 可 启用 应 用 程序 排除 策略 ， 如 图 9-90 所 示 。 

四 2 在 右 侧 的 “操作 ” 栏 中 单 击 “排除 应 用 程序 ”链接 ， 显 示 如 图 9-91 所 示 “ 添 加 要 排除 的 
应 用 程序 ”对 话 框 。 在 “应 用 程序 文件 名 ”文本 框 中 , 输入 应 用 程序 的 名 称 , 例如 Office Word 2003; 
利用 “最 低 版 本 ”和 “最 高 版 本 ”来 限定 版 本 范围 ， 必 须 采 用 四 位 数字 的 句点 分 隔 格式 ， 不 足 四 位 
则 用 零 补 齐 ， 例 如 1.2.3.0。 本 例 中 ， 最 低 版 本 为 11.5604.5606.0， 是 未 安装 SP2 和 SP3 的 Office， 
而 11.8169.8172.0 则 是 Office 最 高 版 本 。 


豆 Can] 
图 9-90 ”应 用 程序 排除 图 9-91 添加 要 排除 的 应 用 程序 
io 到 单 击 “完成 ”按钮 ， 应 用 程序 排除 完成 。 
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3. 密码 箱 版 本 排除 


密码 箱 的 功能 是 为 客户 端 提 供 加 密 和 解密 ， 以 保证 私 钥 的 安全 。 密 码 箱 版 本 低 于 AD RMS 指 
定 版 本 的 客户 端 , 将 无 法 从 该 群集 获得 权限 账户 证 书 或 使 用 许可 证 。 当 启用 根据 密码 箱 版 本 进行 排 
除 的 功能 以 后 ， 使 用 低 于 指定 版 本 的 密码 箱 软 件 的 客户 端 将 无 法 获得 权限 账户 证 书 或 用 户 许可 证 ， 
原因 是 其 请 求 将 被 拒绝 。 这 些 客户 端 必须 安装 新 版 本 的 AD RMS 客户 端 软 件 ， 以 获得 使 用 当前 版 
本 软件 的 新 密码 箱 。 


出 在 AD RMS 控制 台 窗 口 的 左 侧 栏 中 ， 在 “排除 策略 ” 窗 格 中 选择 “密码 箱 ” 选 项 ， 单 击 
右 侧 “操作 ” 栏 中 的 “启用 密码 箱 排除 ”链接 ， 即 可 启用 该 排除 策略 ， 如 图 9-92 所 示 。 默 认 最 小 
密码 箱 版 本 为 “未 设置 ”。 


单 击 “ 查 看 推荐 的 最 小 密码 箱 版 本 ”链接 ， 将 自动 登录 微软 网 站 ， 并 显示 最 小 密码 箱 版 本 信息 ， 如 
图 9-93 所 示 。 
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图 9-92 密码 箱 版 本 排除 图 9-93 查看 密码 箱 版 本 
02 单 击 “ 更 改 最 小 密码 箱 版 本 ”链接 ， 显 示 如 图 9-94 所 示 “ 密 码 箱 ” 对 话 框 。 在 “最 小 密 
码 箱 版 本 ”文本 框 中 输入 微软 网 站 反馈 的 版 本 信息 即 可 。 为 了 确保 服务 器 的 安全 ， 建 议 在 普通 客户 
机 登录 该 站 点 来 查找 反馈 信息 。 


EE a 


| | a 
图 9-94 密码 箱 


to 单 击 “ 确 定 ” 按 钮 ， 密 码 箱 版 本 排除 成 功 。 


ee 
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4. Windows 版 本 排除 


对 于 Windows 98/Me 操作 系统 来 说 ， 支 持 早期 RMS 1.0 客户 端 ， 但 不 支持 NTLM 身份 验证 。 
因此 ， 为 了 防止 用 户 在 运行 上 述 操作 系统 的 计算 机 上 使 用 受 AD RMS 保护 的 文档 ， 可 以 启用 
Windows 版 本 排除 策略 ， 使 用 户 只 能 使 用 高 于 Windows Me 的 Windows 版 本 。 

在 AD RMS 控制 台 窗口 的 左 侧 栏 中 , 在 “排除 策略 " 窗 格 中 单 击 *Windows 版 本 ”显示 “Windows 
版 本 ”窗口 。 单 击 右 侧 “操作 ” 栏 中 的 “启用 Windows 版 本 排除 ”链接 ， 即 可 启用 Windows 版 本 
排除 策略 ， 如 图 9-95 所 示 。 
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当 设 置 了 基于 Windows 版 本 来 排除 用 户 的 排除 策略 以 后 ， 所 有 用 户 许可 证 中 都 将 包含 相应 条 
件 ， 这 些 条 件 可 防止 运行 Windows 98/Me 的 客户 端 使 用 这 些许 可 证 。 


9.5.5 配置 安全 策略 


在 “AD RMS 控制 台 ” 窗 口 的 左 侧 栏 中 ， 选 择 “ 安 全 策略 ”， 显 示 如 图 9-96 所 示 “ 安 全 策略 ” 
窗口 ， 包 括 超 级 用 户 、 群 集 密 钥 密码 和 解除 授权 3 种 策略 。 同 样 ， 默 认 状态 下 ， 所 有 策略 都 是 禁用 
的 ， 配 置 之 前 必须 先 将 其 启用 。 
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1. 超级 用 户 策略 


超级 用 户 组 的 成 员 在 从 AD RMS 请 求 用 户 许 可 证 时 ， 被 授予 了 所 有 者 用 户 许可 证 ， 允 许 他 们 
使 用 该 服务 器 的 所 有 受 RMS 保护 的 内 容 。 超 级 用 户 策略 配置 步骤 如 下 。 


[0 在 “AD RMS 控制 合 ” 窗口 的 左 侧 栏 中 ， 选 择 “ 超 级 用 户 ”选项 ， 在 “操作 ” 栏 中 单 击 
“启用 超级 用 户 ”链接 ， 启 用 超级 用 户 ， 如 图 9-97 所 示 。 默 认 情 况 下 ， 超 级 用 户 组 为 “未 设置 ”。 

02) 单 击 “ 更 改 超级 用 户 组 ”链接 ， 打 开 如 图 9-98 所 示 “ 超 级 用 户 ” 对 话 框 . 在 “超级 用 户 
组 ”文本 框 中 输入 该 Active Directory 林 中 现 有 组 的 完全 限定 的 域名 即 可 。 


EREIYTIETTETTI 


i 


本 Hh 内 用 ， 信 和 环 要 aj 记 用 。 


i rE ma |_ smo | wy 
图 9-97 启用 超级 用 户 图 9-98 “超级 用 户 ” 对 话 框 


后 说 明 
必须 事先 在 域 控制 器 上 ， 为 用 户 组 配置 好 电子 邮件 名 称 ， 否 则 将 无 法 正常 添加 。 


I03) 单 击 “ 确 定 ” 按 钮 ， 即 可 更 改 超级 用 户 组 ， 如 图 9-99 所 示 。 
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图 9-99 更 改 超级 用 户 组 
2. 群集 密 钥 密 码 
通过 设置 群集 密 钥 密码 ，AD RMS 将 为 服务 器 创建 AD RMS 私 钥 ， 该 私 钥 将 被 加 密 并 存储 在 
配置 数据 库 中 。 建 议 将 私 钥 备 份 并 存储 在 一 个 安全 的 位 置 。 此 外 ,还 可 考虑 使 用 硬件 安全 模块 来 加 
强 AD RMS 私 钥 的 安全 性 ， 因 为 此 密 钥 将 用 于 受 AD RMS 服务 器 保护 的 所 有 内 容 的 加 密 模式 。 如 
果 AD RMS 私 钥 由 于 某 种 原因 被 泄漏 ， 则 需要 在 服务 器 上 取消 设置 AD RMS， 然 后 再 次 设置 AD 
RMS 以 获得 新 的 私 钥 。 和 群集 密 钥 密码 策略 配置 步骤 如 下 。 
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0 在 “AD RMS 控制 台 ” 窗 口 的 左 侧 栏 中 ， 选 择 “ 群 集 密 钥 密码 ”选项 ， 如 图 9-100 所 示 。 
在 此 处 可 以 看 到 密 钥 保护 方法 为 “AD RMS 集中 管理 ”. 


ET 
和 


日 maasasa N 


图 9-100 群集 密 钥 密码 设置 
3 单 击 “ 更 改 群集 密 钥 密码 ”链接 ， 显 示 如 图 9-101 所 示 “ 群 集 密 钥 密 码 ” 对 话 框 。 分 别 
在 “密码 ”和 “确认 密码 ”文本 框 中 输入 新 的 密 钥 密码 即 可 。 
to3j 单 击 “ 确 定 ”按钮 ， 显 示 如 图 9-102 所 示 提 示 框 ， 提 示 密 码 已 成 功 重 置 。 单 击 “ 确 定 ” 
按钮 即 可 。 


他 | 


作对 各 写 


图 9-101 群集 密 钥 密 码 图 9-102 密码 已 成 功 重 置 


如 果 该 服务 器 曾 用 来 保护 内 容 ， 则 应 通知 所 有 内 容 所 有 者 , 同时 使 用 设置 了 新 私 钥 的 AD RMS 服务 


器 来 重新 发 布 内 容 。 使 用 受 已 泄漏 的 私 钥 保护 的 所 有 内 容 副 本 都 应 销毁 ， 因 为 这 些 内 容 无 法 受到 足够 的 
保护 。 


3. 解除 授权 

解除 授权 是 指 撤销 AD RMS 服务 器 赋予 指定 用 户 对 被 保护 文档 的 所 有 权限 ， 即 所 有 用 户 都 具 
有 完全 访问 的 权限 。 因 此 ， 通 常 都 是 删除 AD RMS 服务 器 群集 时 才 执 行 解除 授权 操作 。 解 除 授权 
的 主要 操作 步骤 如 下 。 

0 在 “AD RMS 控制 全 ”窗口 的 左 侧 栏 中 ， 在 “安全 策略 ”中 选择 “解除 授权 ”选项 ， 显 
示 “ 解 除 授权 ”窗口 。 默 认 状 态 下 ，“ 解 除 授权 ”为 禁用 状态 ， 并 且 “ 解 除 授权 ”按钮 为 灰色 不 可 
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用 状态 。 单 击 “操作 ” 栏 中 的 “启用 解除 授权 ”链接 ， 启 用 解除 授权 策略 ， 同 时 ，“ 解 除 授权 ” 按 
钮 变 为 可 用 状态 ， 如 图 9-103 所 示 。 


四 2 单 击 “ 解 除 授权 ”按钮 ， 显 示 如 图 9-104 所 示 “ 确 认 解 除 授权 ”提示 框 。 提 示 如 果 解 除 
AD RMS 群集 的 授权 ， 需 要 重新 安装 和 配置 AD RMS 群集 。 


~ 


ms 


[了 


@ 0 MS 种 某 和 可 避 ， 加 交 需 要 重新 安装 和 加 置 
上 确定 更 解 际 比 如 Me 群集 授权 中? 


9-103 ”启用 解除 授权 


图 9-104 ”确认 解除 授权 
103j 单 击 “ 是 ”按钮 即 可 解除 授权 ， 如 图 9-105 所 示 。 本 地 AD RMS 群集 的 所 有 配置 选项 都 


已 经 被 删除 了 。 
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9-105 ”成 功 解除 授权 


解除 授权 后 ，AD RMS 服务 器 的 操作 将 会 发 生 改变 ， 它 能 够 提供 一 个 密 钥 ， 用 于 解密 以 前 发 
布 的 受 保护 的 内 容 。 通 过 此 密 钥 ， 可 在 不 使 用 AD RMS 保护 方法 的 情况 下 保存 内 容 。 


0 解除 授权 之 后 ， 还 必须 修改 ITS 中 “解除 Web 服务 的 授权 ”页 ( decommission.asmx ) 的 
访问 控制 列表 ， 以 允许 所 有 用 户 访问 。 在 “IIS 管理 器 ”窗口 中 找到 decommission.asmx 页 ， 并 打 
开 如 图 9-106 所 示 “ 身 份 验证 ”对 话 框 ， 取消 原 有 的 各 种 身份 验证 方式 ， 并 启用 “匿名 身份 验证 ”。 


9-106 取消 IIS 中 的 身份 验证 机 制 
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t09j 还 要 打开 decommission.asmx 页 所 在 的 目录 (通常 在 
Ci\inetpub\Wwwwroot、 wmcs\ decommission ) ， 添 加 Everyone 用 户 
组 对 该 目录 具有 “完全 控制 ”权限 ， 如 图 9-107 所 示 。 


#9 二 | | 二 | 
ecm 


9.6 部 载 AD RMS 服务 器 端 


如 果 在 安装 AD RMS 服务 器 的 时 候 ， 出 现 了 类 似 图 9-108 所 
示 的 错误 ， 或 者 有 其 他 的 错误 ， 而 不 能 配置 AD RMS 服务 器 时 ， 9-107 ”修改 Everyone 的 权限 
可 按照 下 面 的 步骤 将 其 卸载， 然后 重新 安装 。 


图 9-108 ”安装 AD RMS 出 现 错误 
外 载 AD RMS 服务 器 的 步骤 如 下 。 
toJ 打开 “服务 器 管理 器 ”， 定 位 到 “角色 ”， 在 右 侧 单 击 “ 删 除 角 色 ” 按 钮 ， 在 打开 的 “ 删 


除 服务 器 角色 ”对 话 框 中 ， 取 消 选 中 “Active Directory Rights Management Services” 复 选 框 ， 如 图 
9-109 所 示 。 


nF] | 


图 9-109 取消 AD RMS 
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不 能 同时 取消 选中 “Web 服务 器 ( IIS ) ” 复 选 框 ,否则 在 逢 载 之 后 , 会 出 现 如 图 9-110 所 示 的 错误 ， 
导致 AD RMS 服务 器 不 能 卸载 。 


(02 印 载 AD RMS 服务 器 之 后 ， 根 据 提示 重新 启动 计算 机 ， 如 图 9-111 所 示 。 
| 本 ww 


人 


hE err 


图 9-110 ”删除 失败 


ET | 
9-111 外 载 AD RMS 之 后 重新 启动 


tQ3j 再 次 进入 系统 之 后 ， 在 “服务 器 管理 器 ”中 选择 “删除 角色 ”选项 ， 在 “删除 服务 器 角 
色 ” 对 话 框 中 ， 印 载 “Web 服务 器 (IS ) ”， 如 图 9-112 所 示 。 


to 约 印 载 Web 服务 器 之 后 ， 根 据 提示 重新 启动 计算 机 ， 如 图 9-113 所 示 。 
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图 9-112 ”外 载 IS 


图 9-113 ”重新 启动 完成 Web 服务 器 的 印 载 
WQS) 再 次 进入 系统 后 ， 在 “服务 器 管理 器 ”中 ， 选 择 “删除 功能 ”选项 ， 在 “删除 功能 向 导 ” 


对 话 框 中 ， 取 消 选 中 “Windows 进程 激活 服务 ”和 “Windows 内 部 数据 库 ” 复 选 框 ， 如 图 9-114 
所 示 。 


to8j 印 载 之 后 ， 根 据 提示 ， 重 新 启动 计算 机 ， 如 图 9-115 所 示 。 
由 再 次 进入 系统 后 ， 打 开 “ 资 源 管理 器 ”， 删 除 intepub 目录 ， 如 图 9-116 所 示 。 
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图 9-116 删除 web 服务 器 默认 目录 
完成 上 述 操作 后 ， 重 新 安装 AD RMS 服务 器 即 可 。 
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使 用 分 布 式 文件 系统 (Distributed File System， 简 称 DFS) ， 可 以 让 用 户 很 方便 地 访问 和 管理 
物理 上 分 布 在 网 络 各 处 的 文件 。 通 过 DFS， 可 以 使 分 布 在 多 个 服务 器 上 的 文件 如 同位 于 网 络 上 的 
同一 个 位 置 那 样 显示 在 用 户 面前 。 用 户 在 访问 文件 时 不 再 需要 知道 和 指定 它们 的 实际 物理 位 置 。 分 
布 式 文件 系统 (DFS) 命名 空间 和 DFS 复制 对 文件 、 负 载 共享 和 WAN 提供 了 友好 而 可 用 性 高 的 
访问 。 

例如 ， 如 果 有 3 台 服 务 器 ， 每 个 服务 器 都 有 多 个 共享 文件 来。 对 于 用 户 来 说 ， 使 用 每 个 服务 
器 上 的 每 个 共享 文件 来， 都 要 创建 一 个 “网 络 驱动 器 ”进行 映射 。 而 使 用 “分 布 式 文件 系统 ”， 只 
需要 访问 一 个 共享 (分 布 式 文件 系统 的 根 目录 )〉 ， 并 创建 一 个 驱动 器 映射 ， 就 可 以 访问 分 布 在 多 个 
服务 器 上 的 多 个 不 同 的 共享 文件 夹 了 。 


10.1 Windows Server 2008 R2 中 的 DFS 改进 


分 布 式 文件 系统 是 从 Windows 2000 Server 开始 提供 的 服务 ， 它 还 可 以 自动 在 多 台 服 务 器 之 间 
同步 数据 ， 但 截止 到 Windows Server 2003 R2 之 前 的 系统 (包括 Windows Server 2003) ，DFS 中 
的 “同步 数据 ”并 不 是 很 好 用 , 并 且 DFS 复制 对 带宽 的 依赖 也 比较 高 。 基 于 此 ,Windows Server 2003 
R2 重 写 了 DFS 的 部 分 程序 ,并 对 原来 的 DFS 做 了 比较 大 的 改进 ,提高 了 DFS 的 可 用 性 ,在 Windows 
Server 2003 R2 操作 系统 中 , Microsoft 修改 并 重 命名 了 DFS 命名 空间 (以 前 称 为 DFS), 用 DFS 
管理 单元 替换 了 分 布 式 文件 系统 管理 单元 , 并 引入 了 新 的 DFS 复制 功能 ,在 Windows Server 2008 
操作 系统 中 ，Microsoft 添加 了 Windows Server 2008 模式 的 基于 域 的 命名 空间 ， 并 且 大 幅 改进 了 
可 用 性 和 性 能 。 在 Windows Server 2008 R2 操作 系统 中 ，Microsoft 增加 了 大 量 功 能 ， 并 对 现 有 功 
能 进行 了 改进 。 

本 章 将 以 Windows Server 2008 的 DFS 为 例 ， 介 绍 DFS 文件 系统 在 企业 网 络 中 的 应 用 。 


在 本 章 的 内 容 中 ， 需 要 使 用 3 台 Windows Server 2008 R2 的 虚拟 机 来 做 实验 ， 用 户 可 以 从 HyperV 


中 导出 的 Windows Server 2008 R2 虚拟 机 、 然 后 按 不 同名 称 导 入 两 次 ， 以 添加 两 个 虚拟 机 。 再 使 用 导入 的 
虚拟 机 并 启动 后 , 运行 sysprep 重新 生成 SID 并 修改 计算 机 的 名 称 即 可 。 有 关 虚 拟 机 的 “导出 ” 与 “导入 ”， 
请 参见 本 书 第 11 章 的 相关 内 容 。 在 本 章 中 ， 实 验 拓扑 如 图 10-1 所 示 。 
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图 10-1 DFS 实验 拓扑 图 


在 Windows Server 2008 中 ，DFS 服务 有 了 重大 改进 ， 如 下 所 示 。 


T1044 


支持 数据 汇聚 。 

访问 基于 枚 举 ， 只 允许 用 户 看 到 文件 服务 器 中 赋予 了 相应 存 取 权限 的 文件 和 文件 夹 。 默 认 
情况 下 ， 这 一 功能 在 命名 空间 中 并 未 启用 ( 尽管 创建 新 的 共享 文件 夹 时 这 项 功能 被 默认 启 
用 ) ， 并 且 只 支持 运行 着 windows server 2008 系统 的 主机 上 的 单机 DFS 命名 空间 ， 或 者 
是 基于 活动 目录 的 模式 。 

集群 支持 ， 支 持 在 DFS 管理 单元 中 建立 独立 的 命名 空间 ， 容 错 功能 更 加 强大 。 

改进 命令 行 工 具 ，Windows Server 2008 中 的 DFS 命名 空间 包括 一 个 更 新 版 本 的 dfsUtil 指 
挥 和 新 dfsdiag 命令 ， 该 命令 可 以 使 用 名 称 诊断 。 

Windows Server 2008 支持 创建 基于 域 模式 的 命名 空间 , 增加 了 对 基于 枚 举 的 访问 的 支持 及 
可 扩展 性 ， 而 且 支 持 只 读 域 控制 器 。 

繁殖 报告 DFS 管理 包括 一 个 新 的 类 型 的 诊断 报告 ， 称 为 繁殖 报告 。 此 报告 显示 在 繁殖 试 
验 中 创建 复制 的 进展 测试 文件 。 

即时 复制 ，DFS 复制 的 能 力 包括 强制 复写 立即 发 生 ， 暂 时 忽略 复制 计划 

DFS 复制 可 用 于 SYSVOL 复制 ， 在 Windows Server 2008 的 域 功能 级 别 中 ，DFS 复制 作为 
复制 AD SYSVOL 文件 夹 的 引擎 ， 它 完全 替代 了 文件 复制 服务 FRS。 

DFS 复制 的 内 容 新 鲜 功能 ， 防 止 服务 器 离线 很 长 一 段 时 间 后 书写 新 的 数据 时 ， 会 再 次 重新 
写 入 过 时 的 数据 。 

改进 意外 关机 处 理 ， 在 Windows Server 2008 中 ，DFS 复制 可 以 更 快 地 恢复 意外 关机 造成 
的 损失 。 

支持 数据 复制 方向 调整 ， 默 认 情况 下 复制 方向 为 双向 ， 可 以 设置 为 单项 。 


使 用 DFS 文件 服务 器 的 必要 性 


很 多 企业 每 天 都 需要 处 理 大 量 的 数据 。 而 在 一 个 局 域 网 内 ， 需 要 在 服务 器 上 保存 的 数据 越 来 
越 多 ， 需 要 考虑 的 问题 也 会 很 多 ， 这 包括 : 

(1) 由 于 数据 众多 ， 单 台 服务 器 已 经 不 能 满足 需要 。 如 果 把 数据 保存 在 多 台 服 务 器 上 ， 用 户 
在 使 用 、 访 问 数据 时 ， 又 没有 原来 单 台 服务 器 访问 时 方便 。 

(2) 对 于 重要 的 数据 ， 需 要 备份 。 手 动 备份 太 麻烦 ， 如 果 有 大 量 的 数据 或 者 需要 经 常 修改 的 
数据 ， 也 不 能 做 到 定期 备份 。 

(3) 很 多 时 候 ， 为 了 用 户 数据 的 安全 ， 在 局 域 网 中 会 为 每 个 用 户 在 服务 器 上 “开辟 ”一 点 空 
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间 ， 让 用 户 把 重要 的 数据 保存 到 服务 器 上 去 。 但 有 一 些 “ 不 自觉 ”的 用 户 ， 他 们 会 在 服务 器 上 保存 
电影 、 音 乐 、 自 己 的 相片 等 ， 而 到 真正 保存 有 用 数据 时 却 已 经 没有 空间 。 

使 用 Windows Server 2008 R2 中 的 “DFS” 可 以 很 容易 地 解决 前 2 个 问题 ， 而 第 3 个 问题 可 由 
Windows Server 2008 R2 中 的 “文件 服务 器 ”解决 。 


10.1.2 ”组 建 基于 Windows Server 2008 R2 的 “分 布 式 文件 系统 ” 
在 本 章 中 ， 配 置 DFS 服务 器 的 主要 步骤 如 下 。 


IQ 和 1 准备 3 台 服 务 器 ，IP 地 址 分 别 是 192.168.1.1、192.168.1.2、192.168.1.3， 这 3 人 台 服 务 器 
已 经 升级 到 Active Directory, 其 中 第 1 台 Active Directory 服务 器 域名 为 win2008ser.msft.com, 第 2 
台 服 务 器 域名 为 fsl.msft.com， 第 3 台 服 务 器 域名 为 fs2.msft.com。 其 中 一 台 服 务 器 ( fsl.msft.com ) 
作为 域 的 “额外 域 控制 器 ” ， 另 一 台 服 务 器 (fs2.msft.com ) 作为 域 的 “成 员 服 务 器 ”。 


这 样 做 的 目的 是 为 了 让 大 家 验证 ， 作 为 DFS 的 服务 器 ， 可 以 是 域 控制 器 , 也 可 以 是 加 入 到 域 的 成 员 
服务 器 。 在 实际 使 用 时 ，DFS 服务 器 最 好 是 域 的 “额外 域 控制 器 ”而 不 是 “成 员 服务 器 ”。 


02 这 3 人 台 服 务 器 安装 Windows Server 2008 R2 Enterprise， 第 1 台 服 务 器 的 计算 机 名 称 设置 
为 win2008ser， 第 2、 第 3 台 服 务 器 的 计算 机 名 称 分 别 为 Sl 和 fs2。 

03j 在 第 2 台 服 务 器 人 1 上 ， 运 行 dcpromo 命令 ， 成 为 现在 域 的 “额外 域 控制 器 ”。 在 第 3 
台 服 务 器 亿 上 ， 加 入 现 有 域 ， 作 为 “成 员 服务 器 ”。 

0 级 在 每 台 服 务 器 上 ， 添 加 “分 布 式 文件 系统 ”组 件 。 

tog 在 每 台 服 务 器 上 创建 一 些 文件 夹 并 设置 共享 , 同时 向 文件 夹 中 复制 一 些 对 应 的 文档 或 
数据 。 


由 于 升级 windows server 2008 服务 器 到 Active Directory 模式 已 在 前 面 章节 进行 介绍 ， 本 章 不 
再 袭 述 。 下 面 讲 一 下 安装 “分 布 式 文件 系统 ” 


的 具体 步骤 。 ET 
诲 asne 
0 打开 “服务 器 管理 器 ”窗口 ， 在 左 | ee 


侧 的 控制 台 树 中 选择 “角色 ”选项 ， 然 后 选 。 “es 
对 话 框 右 侧 的 “添加 角色 ”选项 ， 运 行 “ 添 ” 草 
加 角色 向 时 ”. 

[02 在 “选择 服务 器 角色 ”对 话 框 中 ， 
选中 “文件 服务 ” 复 选 框 ， 如 图 10-2 所 示 。 

03) 在 “选择 角色 服务 "对 话 框 中 选中 ， 


“分 布 式 文件 系统 " 复 选项 , 如 图 10-3 所 示 。 Ls 
0 旨 在 “创建 DFS 命名 空间 ”对 话 框 o/s] su ew | 
中 ， 选 择 “ 以 后 使 用 服务 管理 器 中 的 “DFS 图 10.2 选择 文件 服务 


管理 ”管理 单元 创建 命名 空间 ” 单 选 按钮 ， 
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如 图 10-4 所 示 。 


图 10-3 选择 角色 服务 图 10-4 创建 DFS 命名 空间 
iog 在 “确认 安装 选择 ”对 话 框 中 ， 可 以 查看 即将 安装 的 角色 服务 及 功能 ， 如 图 10-5 所 示 。 
to@j 单 击 “ 安 装 ” 按 钮 开始 安装 。 安 装 完 成 后 ， 显 示 “ 安 装 结果 ”对 话 框 ， 单 击 “ 关 闭 ” 按 
钮 退出 ， 如 图 10-6 所 示 。 


10-5 ”确认 安装 选择 10-6 ”安装 结果 


10.2 ”创建 和 管理 命名 空间 (DFS 的 使 用 ) 


使 用 DFS 命名 空间 , 可 以 将 位 于 不 同 服务 器 上 的 共享 文件 夹 组 合 到 一 个 或 多 个 逻辑 结构 的 命 
名 空间 。 每 个 命名 空间 作为 具有 一 系列 子 文件 夹 的 单个 共享 文件 夹 显示 给 用 户 。 但是, 命名 空间 的 
基本 结构 可 以 包含 位 于 不 同 服务 器 以 及 多 个 站 点 中 的 大 量 共享 文件 夹 。 命名 空间 提高 了 可 用 性 , 并 
在 可 用 时 自动 将 用 户 连接 到 同一 活动 目录 域 服务 (AD DS) 站 点 中 的 共享 文件 夹 , 而 不 是 通过 广 域 
网 (WAN) 连接 对 其 进行 路 由 。 


10.2.1 创建 命名 空间 
创建 命名 空间 的 步骤 如 下 。 
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0 选择 “开始 ”一 “管理 工具 ”一 “DFS Management” 菜 单 ， 打 开 “DFS 管理 ”窗口 ， 如 
图 10-7 所 示 。 
(TIT 
三 疼 四 扎 上 内 查看 亩 各 帮助 人 0 
工 攻 FEIE LT 


LE 
要 丰 
臣 葡 复制 


此 视图 中 股 有 可 显示 的 项 目 * 


PE 


10-7 DFS 管理 


oa 从 “DFS 管理 ”窗口 中 ， 用 鼠标 右键 单 击 “ 命 名 空间 ”， 从 快捷 菜单 中 选择 “新 建 命 名 
空间 ”命令 ,运行 “新 建 命名 空间 向 导 ”， 如 图 10-8 所 示 。 单 击 “浏览 ” 按 钮 ， 打 开 “选择 计算 
机 ”对 话 框 ， 单 击 “ 高 级 ”按钮 ， 然 后 单 击 “ 立 即 查找 ”按钮 ， 选 择 “WIN2008SER”， 如 图 10-9 
所 示 。 单 击 “ 确 定 ” 按 钮 返回 。 


也 可 以 在 “服务 器 名 称 ”文本 框 中 直接 输入 计算 机 名 称 ， 本 例 中 为 “WIN2008SER”， 然后 单 击 “ 确 
定 ” 按 钮 ， 返 回 “ 命 名 空间 服务 器 ”对 话 框 。 


srs 

有 

2 村 录 儿 有 宝地 全 加 的 避 答 。 适 关于 寺 秋 片 笠 3 站 避 空 则 
的 攻 空 站务 逢 四 

各 欠 全 居 名 证 和 诬告 La 

eerie mw | 


SE 
人 


a 计 nr 王 


Eee 
图 10-8 新建 命名 空间 向 导 图 10-9 选择 计算 机 
to3 打开 “命名 空间 名 称 和 设置 ”对 话 框 ， 在 “名 称 ” 文 本 框 中 输入 命名 空间 的 名 称 ， 通 党 
选择 一 个 比较 简短 、 易 记 的 名 称 ， 本 例 中 为 “dfs-root” ， 如 图 10-10 所 示 。 
to 弥 单 击 “ 编 辑 设置 ”按钮 ， 打 开 “ 编 辑 设置 ”对 话 框 ， 在 “共享 文件 来 的 本 地 路 径 ” 文 本 
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框 中 使 用 默认 路 径 ， 选 择 “Administrator 具有 完全 访问 权限 ; 其 他 用 户 具 有 只 读 权 限 ” 单 选 按钮 ， 
如 图 10-11 所 示 ， 单 击 “ 确 定 ”按钮 。 


10-10 ”命名 空间 名 称 和 设置 图 10-11 编辑 设置 


t@ 甸 返回 到 “命名 空间 名 称 和 设置 ”对 话 框 后 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 命 名 空间 类 型 > 
对 话 框 ， 选 中 “基于 域 的 命名 空间 ” 单 选 按钮 ， 如 图 10-12 所 示 。 

108@j 在 “复查 设置 并 创建 命名 空间 ”对 话 框 ， 查 看 设置 ， 如 图 10-13 所 示 。 然 后 单 击 “ 创 建 ” 
按钮 。 


图 10-12 命名 空间 类 型 图 10-13 复查 设置 


上 显示 “确认 ”对 话 框 ， 如 图 10-14 所 示 。 单 击 “ 关 闭 ” 按 钮 ， 返 回 到 “DFS 管理 ”窗口 ， 
如 图 10-15 所 示 。 
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Er 
大 中 | 才 [ 王 | 于 利 宇 


= 


三 [ 
图 10-14 确认 图 10-15 DEFS 管理 


10.2.2 在 命名 空间 中 创建 文件 夹 


在 创建 命名 空间 后 ， 可 以 将 各 服务 器 中 创建 的 共享 文件 夹 添加 到 命名 空间 中 统一 管理 和 使 用 ， 
而 其 他 用 户 再 访问 各 服务 器 提供 的 共享 资源 时 ， 只 需要 统一 访问 DFS 命名 空间 即 可 。 在 此 可 以 看 
到 ， 所 谓 DFS 命名 空间 ， 只 不 过 是 把 需要 共享 的 资源 进行 统一 管理 而 已 。 

在 本 小 节 的 操作 中 ， 将 把 WIN2008SER 服务 器 提供 的 soft 共享 、fs2 提供 的 vod-fs2 共享 添加 
到 DFS 命名 空间 中 ， 步 又 如 下 。 


0 和 在 “DFS 管理 ”窗口 中 展开 “命名 空间 ”选项 ， 右 击 已 创建 的 命名 空间 ， 选 择 快捷 菜单 
中 的 “新 建文 件 夹 ”命令 ， 显 示 “ 新 建文 件 夹 ”对 话 框 ， 如 图 10-16 所 示 。 首 先 添加 WIN2008SER 
提供 的 soft 共享 文件 夹 。 在 “名 称 ” 文 本 框 中 输入 文件 夹 名 ， 这 个 文件 夹 名 是 在 DFS 命名 空间 中 
访问 提供 的 共享 的 快捷 名 称 ， 在 本 例 中 为 “software”。 


写 紫 命 安 空间 信 ): 
ET ean Etre 


文件 来 忆 标 0); 


ET Wy 


向 关 计 名 宇 同 文件 六 息 ， 请 绍 3 管理 到 


Cw |] ww | 


二 | 


图 10-16 新 建文 件 夹 
I02 在 图 10-16 中 单 击 “ 添 加 ”按钮 ， 显 示 “ 添 加 文件 夹 目 标 ” 对 话 框 ， 如 图 10-17 所 示 。 
tO 引 单 击 “ 浏 览 ”按钮 ， 打 开 “ 浏 览 共享 文件 来 ”对 话 框 ， 单 击 “ 浏 览 ”按钮 ， 打 开 “ 选 择 
计算 机 ”对 话 框 ， 输 入 计算 机 名 称 ， 本 例 为 “WIN2008SER”。 单 击 “ 确 定 ”按钮 返回 ， 从 “共享 
文件 夹 ” 列表 中 选择 “soft” 文 件 夹 ， 如 图 10-18 所 示 。 然 后 单 击 “ 确 定 ”按钮 。 


358.. 


DFS 分 布 式 文件 系统 管理 与 应 用 梨 10 章 


10-17 添加 文件 夹 目标 图 10-18 浏览 共享 文件 夹 
四 旨 显示 “添加 文件 夹 目 标 ” 对 话 框 ， 显示 添加 的 目标 路 径 ， 如 图 10-19 所 示 。 然 后 单 击 “ 确 


定 ”按钮 。 
t@ 甸 在 “文件 夹 目标 ”文本 框 中 将 显示 已 添加 的 文件 夹 路 径 , 本 例 中 为 “\WIN2008SER\soft”， 
如 图 10-20 所 示 。 单 击 “ 确 定 ” 按 钮 ， 添 加 文件 夹 目 标 完成 。 


10-19 ”添加 文件 夹 目标 10-20 ”已 添加 的 文件 夹 路 径 
io@j 参照 上 述 步骤 ， 可 继续 添加 名 为 vod 的 文件 夹 到 fs2 服务 器 的 vod-fs2 共享 


10.2.3 配置 文件 共享 


“共享 和 存储 管理 ”为 用 户 提供 了 一 个 用 于 管理 共享 资源 (如 文件 夹 和 卷 ) 以 及 存储 资源 的 
集中 位 置 , 它 提供 了 一 个 管理 两 种 重要 服务 器 资源 的 集中 位 置 : 在 网 络 上 共享 的 文件 夹 和 卷 以 及 磁 


盘 和 存储 子 系统 中 的 卷 。 
下 面 介绍 一 下 利用 “共享 和 存储 管理 ”控制 台 设 置 共 享 的 方法 ， 具 体 步骤 如 下 。 


1 出 选择 “开始 ”一 “管理 工具 ”一 “共享 和 存储 管理 ”， 打 开 “ 共 享 和 存储 管理 ”控制 台 ， 
如 图 10-21 所 示 。 
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iD 到 右 击 控制 台 左 侧 的 “共享 和 存储 管理 (本 地 ) ”选项 ， 在 快捷 菜单 中 选择 “设置 共享 ” 
选项 ， 运 行 “ 设 置 共享 文件 夹 向 导 ”。 在 “共享 文件 夹 位 置 ”对 话 框 中 ， 单 击 “浏览 ”按钮 ， 选 择 
要 设置 为 共享 的 文件 夹 ， 本 例 中 为 D 盘 下 的 software 文件 夹 ， 如 图 10-22 所 示 .。 


= | 国 = 
图 10-21 共享 和 存储 管理 图 10-22 设置 共享 文件 夹 向 导 
io3 在 “NTFS 权限 ”对 话 框 中 ， 选 择 “ 否 ， 不 更 改 NTFS 权限 ” 单 选 按钮 ( 若 用 户 需要 更 
改 共享 文件 夹 的 NTFS 权限 ， 也 可 以 选择 “是 ， 更改 NTFS 权限 ”选项 ) ， 如 图 10-23 所 示 。 
四 旨 在 “共享 协议 ”对 话 框 ， 选 中 “SMB” 复 选 框 ， 可 以 设置 共享 名 ， 也 可 使 用 默认 值 ， 如 
图 10-24 所 示 。 若 服 务 器 上 安装 了 网 络 文件 系统 (NFS ) 服务 , 还 可 以 为 共享 资源 指定 基于 NFS 的 


10-23 NTFS 权限 10-24 ”共享 协议 


05 在 “SMB 设置 ”对 话 框 ， 单 击 “ 高 级 ”按钮 可 以 更 改 相应 设置 ， 如 图 10-25 所 示 。 

io06j 在 显示 “SMB 权限 ”对 话 框 ， 选 择 “Administrator 具有 完全 控制 权限 ; 所 有 其 他 用 户 和 
组 只 有 读 取 访问 权限 ” 单 选 按钮 ， 如 图 10-26 所 示 

iD 到 在 “DFS 命名 空间 发 布 ”对 话 框 中 ， 若 需要 将 此 SMB 共享 发 布 到 DEFS 命名 空间 中 ， 可 
以 选中 “将 此 SMB 共享 发 布 到 DFS 命名 空间 ” 复 选 框 ， 在 “命名 空间 中 的 父 文件 来 : ”文本 框 中 
输入 “\msftcomdfs-root”， 在 “新 文件 夹 名 称 ”文本 框 中 输入 共享 的 名 称 ， 如 “software-fs2”， 
如 图 10-27 所 示 。 


“360® 


DFS 分 布 式 文件 系统 管理 与 应 用 第 10 章 


图 10-25 SMB 设置 图 10-26 SMB 权限 


iQ 双 在 “复查 设置 并 创建 共享 ”对 话 框 ， 可 以 看 到 将 要 设置 的 共享 文件 夹 的 详细 信息 ， 如 
图 10-28 所 示 。 单 击 “ 创 建 ”按钮 ， 创 建 共 享 完 成 。 然 后 在 “确认 ”对 话 框 中 ， 单 击 “ 关 闭 ”按钮 
即 可 。 


图 10-27 DFS 命名 空间 发 布 图 10-28 复查 设置 并 创建 共享 
to9j 在 “共享 和 存储 管理 ”控制 台中 ， 可 以 看 到 已 设置 的 共享 ， 如 图 10-29 所 示 。 


图 10-29 已 设置 的 共享 
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10.3 ”管理 DFS 复制 


DFS 复制 是 从 Windows 2000 Server 开始 引入 的 文件 复制 服务 (FRS) ， 是 一 个 基于 状态 的 新 
型 多 主机 复制 引擎 ， 支 持 复制 计划 和 带宽 限制 。DFS 复制 使 用 一 种 称 为 远程 差分 压缩 (RDC) 的 
新 的 压缩 算法 。RDC 是 一 种 “ 线 上 差分 ”客户 端 /服务 器 协议 ， 可 用 于 在 有 限 带 宽 网 络 上 有 效 地 更 
新 文件 。RDC 检测 文件 中 数据 的 插入 、 删 除 和 重新 排列 ， 使 “DFS 复制 ”能 够 在 文件 更 新 时 仅 复 
制 已 更 改 的 文件 块 。 


10.3.1 DFS 复制 简介 


DFS 复制 是 一 种 有 效 的 多 主机 复制 引擎 ， 可 用 于 保持 跨 有 限 带宽 网 络 连接 的 服务 器 之 间 的 文 
件 夹 同步 。 它 将 文件 复制 服务 (FRS ) 替换 为 用 于 DFS 命名 空间 , 以 及 用 于 复制 使 用 Windows Server 
2008 域 功能 级 别 的 、 域 中 的 Active Directory 域 服 务 (AD DS) SYSVOL 文件 夹 的 复制 引擎 。 

DFS 复制 使 用 许多 复杂 的 进程 来 保持 多 个 服务 器 上 的 数据 同步 ， 在 一 个 成 员 上 进行 的 任何 更 
改 均 将 复制 到 复制 组 的 所 有 其 他 成 员 上 。DFS 复制 通过 监视 更 新 序列 号 (USN) 日 志 来 检测 卷 上 
的 更 改 ，DFS 复制 仅 在 文件 关闭 后 复制 更 改 。 

在 发 送 或 接收 文件 之 前 ，DFS 复制 使 用 暂 存 文件 夹 来 暂 存 文件 。DFS 复制 使 用 版 本 矢量 交换 
协议 来 确定 需要 同步 的 文件 。 该 协议 通过 网 络 为 每 个 文件 发 送 不 到 1KB 的 数据 ， 用 于 同步 发 送 成 
员 和 接收 成 员 上 与 已 更 改 文件 关联 的 元 数据 。 

文件 更 改 后 ， 只 会 复制 已 更 改 的 文件 块 ， 而 不 会 复制 整个 文件 。RDC 协议 确定 已 更 改 的 文件 
块 。 使 用 默认 的 设置 ，RDC 适用 于 任何 大 于 64KB 的 文件 类 型 ， 仅 通过 网 络 传输 文件 的 一 小 部 分 。 

DFS 复制 对 冲突 的 文件 〈 即 在 多 个 服务 器 上 同时 更 新 的 文件 ) 使 用 最 后 写 入 者 优先 的 冲突 解 
决 启发 方式 , 对 名 称 冲突 使 用 最 早 创建 者 优先 的 冲突 解决 启发 方式 。 解决 冲突 失败 的 文件 和 文件 夹 
移 至 一 个 称 为 冲突 和 已 删除 文件 夹 的 文件 夹 。 还 可 以 通过 配置 该 服务 , 将 已 删除 文件 复制 到 冲突 和 
已 删除 文件 夹 ， 以 便 在 文件 或 文件 夹 被 删除 后 进行 检索 。 

DFS 复制 可 以 自我 修复 ， 可 以 自动 从 USN 日 志 覆 盖 、USN 日 志 丢 失 或 DFS 复制 数据 库 丢 失 
中 恢复 。DFS 复制 使 用 Windows 管理 规范 (Windows Management Instrumentation，WMI) 提供 的 
程序 ， 为 获取 配置 和 监视 来 自 DFS 复制 服务 的 信息 提供 接口 。 


10.3.2 DFS 复制 要 求 
DFS 复制 具有 以 下 要 求 : 


e@ 扩展 (或 更 新 ) Active Directory 域 服务 (AD DS ) 架构 以 包括 Windows Server 2003 R2 或 
Windows Server 2008 架构 附加 功能 。 有 关 扩 展 AD DS 架构 的 信息 ,可 访问 Microsoft 网 站 
(http://go.microsoft.com/fwlink/?LinkId=93051 ) 
@ ”验证 复制 组 的 所 有 成 员 运 行 的 是 否 是 Windows Server 2008 或 Windows Server 2003 R2。 
e@ 在 充当 复制 组 成 员 的 所 有 服务 器 上 ， 安 装具 有 DFS 复制 角色 服务 的 文件 服务 角色 。 
日 在 服务 器 上 安装 “DFS 管理 "管理 单元 以 管理 复制 .此 服务 器 无 法 运行 Windows Server 2008 
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操作 系统 的 服务 器 核心 安装 。 

e@ 检查 您 的 防 病毒 软件 是 否 与 DFS 复制 兼容 。 

@ 确保 复制 组 中 的 所 有 服务 器 位 于 同一 林 中 ， 不 能 跨 不 同 林 中 的 服务 器 进行 复制 。 

@ 将 已 复制 文件 夹 存 储 在 NTFS 卷 上 。 

@ ”在 节点 的 本 地 存储 中 查找 故障 转移 群集 的 已 复制 文件 夹 . DFS 复制 服务 未 设计 为 与 群集 组 
件 协 调 ， 并 且 该 服务 不 会 将 故障 转移 到 另 一 个 节点 。 


部 署 DFS 复制 时 不 要 超过 以 下 限制 : 


每 个 服务 器 最 多 可 以 是 256 个 复制 组 的 成 员 。 

每 个 复制 组 最 多 可 以 包含 256 个 已 复制 文件 夹 。 

每 个 服务 器 最 多 可 以 具有 256 个 连接 ( 例如 128 个 传 入 连接 和 128 个 传 出 连接 ) 。 

在 每 个 服务 器 上 , 复制 组 数 乘 以 已 复制 文件 夹 数 再 乘 以 连接 数 , 结果 必须 等 于 或 小 于 1024。 
一 个 复制 组 最 多 可 以 包含 256 个 成 员 。 

一 个 卷 最 多 可 以 包含 800 万 个 已 复制 文件 夹 ,一 个 服务 器 最 多 可 以 包含 1TB 的 已 复制 文件 。 


10.3.3 创建 DFS 复制 组 


要 使 用 DFS 复制 发 布 数据 ， 需 要 创建 一 个 复制 组 ， 然 后 选择 包含 一 个 或 两 个 中 心服 务 器 (用 
于 元 余 ) 的 集散 拓扑 。 创 建 DFS 复制 组 的 具体 步 又 如 下 。 


0 在 “DFS 管理 ”窗口 中 ， 选 择 “复制 ”项 ， 右 击 并 选择 快捷 菜单 中 的 “新 建 复制 组 ” 选 
项 ， 运 行 “ 新 建 复 制 组 向 导 ”。 在 “复制 组 类 型 ”对 话 框 中 ， 选 择 “ 多 用 途 复制 组 ” 单 选 按钮 ， 如 
图 10-30 所 示 。 


SE wn 


10-30 新建 复制 组 向 导 


tQ3 在 “名 称 和 域 ”对 话 框 中 ， 在 “复制 组 的 名 称 ” 文 本 框 中 输入 有 代表 意义 的 复制 组 名 ， 
如 “PUB-SOFT-DFS”， 如 图 10-31 所 示 。 

io3 在 “复制 组 成 员 ” 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 选 择 要 添加 的 服务 器 ， 本 例 中 为 
“WIN2008SER” 和 “FS2”， 如 图 10-32 所 示 。 
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图 10-31 名 称 和 域 图 10-32 复制 组 成 员 
I0 旨 在 “拓扑 选择 ”对 话 框 中 ， 选 择 “交错 ” 单 选 按钮 ， 如 图 10-33 所 示 。 
log 在 “复制 组 计划 和 带宽 ”对 话 框 ， 选 择 “ 使 用 指定 带宽 连续 复制 ” 单 选 按钮 ， 在 “带宽 ” 
下 拉 列 表 框 中 选择 “完整 ”选项 ， 如 图 10-34 所 示 。 
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图 10-33 ”拓扑 选择 10-34 复制 组 计划 和 带宽 
06j 在 “主要 成 员 ” 对 话 框 中 ， 在 “主要 成 员 ” 下 拉 列 表 中 选择 “WIN2008SER”， 如 图 10-35 
所 示 。 
0 在 “要 复制 的 文件 夹 ”对 话 框 (如 图 10-36 所 示 ) 中 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 添 加 
要 复制 的 文件 夹 ” 对 话 框 ， 如 图 10-37 所 示 。 
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图 10-35 ”主要 成 员 图 10-36 启用 成 员 身份 状态 
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四 8| 在 “要 复制 的 文件 夹 的 本 地 路 径 ” 文 本 框 中 输入 或 浏览 到 所 要 复制 的 路 径 ， 本 例 中 使 用 
“Di\PUB-SOFT-DFS”， 如 图 10-37 所 示 。 

四 9 单 击 “ 确 定 ” 按 钮 返回 ， 由 于 其 他 成 员 的 本 地 路 径 为 “已 禁用 ”， 应 单 击 “ 编 辑 ” 按 钮 ， 
设置 路 径 ， 将 “成 员 身份 状态 ”设置 为 “已 启用 ”， 如 图 10-38 所 示 。 


ETETTTRTE 


图 10-37 添加 要 复制 的 文件 夹 图 10-38 ”要 复制 的 文件 夹 
蜡 加 在 “复查 设置 并 创建 复制 组 ”对 话 框 ， 单 击 “ 创 建 ” 按 钮 显示“ 确认 ”对 话 框 ， 如 图 
10-39 所 示 。 
加 单 击 “关闭 ”按钮 ， 复制 组 创建 完成 ， 如 图 10-40 所 示 。 


图 10-39 确认 10-40 复制 组 创建 完成 
10.3.4 发 布 DFS 复制 组 
复制 组 创建 完成 以 后 ， 需 要 将 “已 复制 的 文件 夹 ”发 布 ， 具 体 步骤 如 下 。 


四 选中 要 发 布 的 复制 组 ， 并 单 击 “已 复制 文件 夹 ”选项 卡 ， 如 图 10-41 所 示 。 

四 有 2 右键 单 击 要 共享 的 已 复制 文件 夹 ， 在 快捷 菜单 中 选择 “在 命名 空间 中 共享 和 发 布 ”命令 ， 
显示 “共享 和 发 布 已 复制 文件 夹 向 导 ”。 选择 “共享 和 发 布 命 名 空间 中 的 已 复制 文件 夹 ” 单 选 按钮 ， 
如 图 10-42 所 示 。 


“365 


2 


图 10-41 已 复制 文件 夹 图 10-42 ”共享 和 发 布 已 复制 文件 夹 向 导 
ij 在 图 10-42 中 单 击 “ 下 一 步 ”按钮 显示 “共享 已 复制 文件 夹 ”对话 框 ， 如 图 10-43 所 示 。 
io 红 在 图 10-43 中 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 命 名 空间 路 径 ” 对 话 框 ， 在 “命名 空间 中 的 
父 文件 夹 ”文本 框 中 选择 路 径 ， 本 例 为 “\msft.com\dfs-root”， 如 图 10-44 所 示 


到 


图 10-43 ”共享 已 复制 文件 夹 图 10-44 命名 空间 路 径 


io 色 在 “复查 设置 并 共享 已 复制 文件 夹 ”对 话 框 ， 查 看 共享 文件 夹 的 设置 ， 如 图 10-45 所 示 。 
然后 单 击 “ 共 享 ” 按 钮 ， 显 示 “ 确 认 ” 对 话 框 ， 如 图 10-46 所 示 。 单 击 “ 关 闭 ” 按 钮 完成 共享 文件 


10-45 ”复查 设置 并 共享 已 复制 文件 夹 图 10-46 确认 
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10.3.5 ”DFS 复制 计划 管理 
本 节 介绍 DFS 复制 计划 如 何 进行 管理 ， 具 体 步 骤 如 下 。 


0 和 在 “DFS 管理 ”窗口 中 ， 展 开 “ 复 制 ” 项 ， 选 择 要 修改 的 复制 组 ， 右 击 并 从 快捷 菜单 中 
选择 “编辑 复制 组 计划 ”命令 ， 显 示 “ 编 辑 计 划 ” 对 话 框 ， 如 图 10-47 所 示 。 


图 10-47 编辑 计划 
四 2 在 图 10-47 中 单 击 “详细 信息 ”按钮 ， 再 单 击 “ 添 加 ”按钮 ， 将 打开 “添加 计划 ”对 话 
框 ， 可 根据 需要 设置 计划 时 间 ， 本 例 中 设置 为 “8:00 ~ 22:00”， 在 “天 ”选项 组 中 ， 把 复 选 框 全 
部 选中 ，“ 带 宽 使 用 率 ” 设 置 为 “2Mbps”， 如 图 10-48 所 示 。 
io3 单 击 “确定 ”按钮 返回 ， 如 图 10-49 所 示 ， 单 击 “ 确 定 ” 按 钮 完成 复制 组 计划 的 设置 。 


10-48 ”添加 计划 图 10-49 计划 设置 完成 
DFS 复制 创建 并 发 布 后 ， 即 可 实现 两 台 DFS 服务 器 复制 组 的 自动 复制 ， 这 些 不 再 一 一 介绍 。 
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从 本 章 开 始 ,将 介绍 Microsoft 最 新 的 HyperV Server 2008 R2 SP1、Windows Server 2008 R2 SP1 
虚拟 化 技术 ， 用 SCVMM 2008 R2 SP1 进行 管理 的 相关 内 容 ， 这 些 内 容 包括 : 


概述 : 是 选择 Windows Server 2008 R2 还 是 Hyper-V Server 2008 R2。 

安装 前 注意 事项 ， 例 如 设置 BIOS、 分 区 、 磁 盘 选 择 等 。 

安装 Windows Server 2008 R2 并 添加 Hyper-V 功能 。 

Hyper-V 安装 与 配置 。 

理解 Hyper-V 虚拟 网 络 。 

Hyper-V 基本 操作 ， 创 建 虚拟 机 ， 管 理 虚拟 机 ， 导 入 、 导 出 虚拟 机 ， 使 用 差异 磁盘 创建 虚 
拟 机 。 

ee SCVMM 安装 配置 、 规 划 。 

e。 SCVMM 基本 操作 。 

e SCVMM 企业 应 用 : 管理 多 台 Hyper-V、 迁 移 、 群 集 等 。 


本 章 先 介绍 Hyper-V Server 2008 R2 的 使 用 ， 在 下 一 章 将 介绍 SCVMM 2008 R2 的 内 容 。 


11.1 为 虚拟 化 主机 选择 合适 的 版 本 


Hyper-V Server 2008 R2 与 Windows Server 2008 R2 都 提供 了 虚拟 化 功能 ， 对 于 用 户 来 说 ， 应 
该 怎样 选择 呢 ? 

Windows Server 2008 R2 是 Microsoft 最 新 的 服务 器 操作 系统 ， 只 有 64 位 版 本 ， 这 个 产品 集成 
了 Hyper-V 的 功能 。 如 果 需 要 虚拟 化 的 主机 数量 比较 少 ， 并 且 需 要 在 虚拟 化 主机 上 直接 管理 ， 同 
时 还 需要 其 他 的 网 络 服务 ， 例 如 DHCP、DNS、IIS 等 ， 则 可 以 选择 Windows Server 2008 R2 并 添 
加 Hyper-V 功能 。 但 是 ， 这 个 产品 是 一 个 商业 软件 ， 需 要 付费 。 

Hyper-V Server 2008 R2， 可 以 看 作 Windows Server 2008 R2 的 Core 版 本 并 添加 了 Hyper-V 功 
能 ， 这 个 产品 需要 专门 的 管理 计算 机 。 例 如 ， 可 以 使 用 网 络 中 的 Windows 7、Windows Server 2008 
或 SCVMM 2008 R2 进行 管理 。 由 于 减少 了 图 形 界面 以 及 其 他 不 需要 的 网 络 服务 功能 ， 相 比 
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Windows Server 2008 R2，Hyper-V 会 更 加 高 效 。 

Hyper 是 一 款 免费 产品 ， 所 有 用 户 都 可 以 从 Microsoft 官方 网 站 下 载 并 免费 使 用 。 如 果 用 户 只 
需要 虚拟 化 主机 ， 并 且 物 理 主机 不 对 外 提供 其 他 服务 ， 可 以 选择 这 个 产品 。 

如 果 使 用 Windows Server 2008 或 Windows 7 管理 Hyper-V Server 2008 R2， 与 使 用 Windows 
Server 2008 R2 并 安装 HyperV 功能 ， 相 差 并 不 大 ， 但 为 了 远程 管理 Hyper-V， 还 需要 在 Hyper-V 
的 主机 上 做 一 些 配置 。 在 本 章 中 , 我 们 准备 了 两 台 服 务 器 , 其 中 一 台 安装 Windows Server 2008 R2， 
另 一 台 安 装 Hyper-V Server 2008 R2 〈 都 升级 到 SP1 补丁 ) ， 下 文 对 此 进行 详细 介绍 。 


11.2 系统 需求 


Windows Server 2008 R2〈 启 用 Hyper-V 技术 ) 与 Hyper-V Server 2008 R2 的 硬件 需求 如 下 : 


处 理 器 技术 : 64 位 Intel VT 或 AMD-V、 硬 件 DEP、Intel XD bit 或 AMD Nx bit。 
处 理 器 频率 : 最 低 1.4GHz， 推 荐 2.0GHz 或 更 高 。 

内 存 容量 : 最 少 1GB， 推 荐 2GB 或 更 多 。 

硬盘 空间 : 最 少 8GB， 推 荐 20GB 或 更 多 。 


Hyper-V Server 2008 R2 支持 的 虚拟 操作 系统 〈 括 号 内 为 可 分 配 物理 处 理 器 数量 ): 


Windows Server 2008 R2 ( 1/2/4 ) 。 

Windows Server 2008 x64/x86 (1/2/4) 。 
Windows Server 2003 R2 x64/x86 ( 1/2 ) 。 
Windows Server 2003 x64/x86 ( 1/2 ) 。 
Windows Server 2000 (1) 。 

SUSE Linux Enterprise Server 11 x64/x86 (1) 。 
SUSE Linux Enterprise Server 10 SP2 x64/x86 (1) 。 
Red Hat Enterprise Linux 5.2/5.3 x64/x86 (1) 。 
Windows 7 x64/x86 ( 1/2/4 ) 。 

Windows Vista x64/x86 ( 1/2 ) 。 

Windows XP x64/x86. 


11.3 安装 前 的 注意 事项 


在 安装 Windows Server 2008 R2 (或 Hyper-V Server 2008 R2， 以 后 统一 用 Hyper-V Server 2008 
代替 ) 时 ， 需 要 注意 以 下 问题 。 

(1) 检查 计算 机 是 否 符 合 安装 的 最 低 要 求 。 一 般 情况 下 ， 内 存 与 硬盘 空间 都 会 满足 要 求 ， 需 

要 注意 的 是 CPU 及 其 相关 设置 。 如 果 是 在 IBM、DELL、HP 等 服务 器 上 安装 则 ， 则 最 近 几 年 购买 
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的 服务 器 都 支持 HyperV 技术 ; 如 果 是 浪潮 服务 器 , 须 检 查 CMOS 中 是 否 可 以 启用 Intel VT 与 DEP， 
如 果 没 有 相关 选项 ， 须 联系 三 家， 以 获得 BIOS 的 更 新 程序 。 

在 安装 之 前 ， 须 先进 入 CMOS 设置 选项 〈 不 同 厂家 的 服务 器 ， 进 入 CMOS 设置 的 按键 不 同 ， 
须 注意 屏幕 提示 。 目 前 ， 对 于 大 多 数 服务 器 来 说 ， 是 按 F2 键 ) ， 在 “Advanced Processor Options” 
处 按 回 车 键 ， 进 入 高 级 处 理 器 设置 页 ， 启 用 Intel VT 技术 (如 图 11-1 所 示 ) 。 
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Execute Disable Bit [Enabled] Power HM 

Discrete MRR filocation [Enabled] 
TE Disable 
OW1/6V3 
GY1/6V3 
are dis 
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(2) 在 安装 之 前 ， 要 规划 好 服务 器 的 硬盘 。 建 议 在 服务 器 上 配置 至 少 3 块 硬盘 做 RAID5， 如 
果 有 6 块 及 以 上 的 偶数 硬盘 ， 建 议 用 RAID50， 这 样 可 以 在 性 能 、 安 全 性 上 有 个 折衷 。 另 外 ， 在 配 
置 RAID5 或 RAID50 的 时 候 ， 建 议 划 分 为 2 个 逻辑 磁盘 ， 其 中 第 1 个 逻辑 磁盘 在 100GB 左右 ， 这 
个 用 来 安装 操作 系统 , 剩 下 的 按照 每 个 2TB 的 大 小 ,划分 成 多 个 逻辑 磁盘 .例如 ,一 台 HP DL380G7， 
配置 了 6 个 500GB 的 硬盘 , 采用 RAID50, 划分 第 1 个 逻辑 磁盘 为 100GB, 第 2 个 迪 辑 磁盘 为 2TB， 
第 3 个 逻辑 磁盘 为 S00GBX6-100GB-2TB~900GB。 


11.4 ”实验 环境 


为 了 全 面 介绍 Windows Server 2008 R2 与 Hyper-V Server 2008 R2， 我 们 准备 了 6 台 服 务 器 ， 
各 服务 器 相关 参数 如 表 11-1 所 示 。 
表 11-1 各 服务 器 相关 参数 


服务 器 厂商 计算 机 名 称 IP 地址 作用 

DELL heinfo local 的 第 一 台 域 控制 器 

DELL wsus 172.30.5.6 WSUS 服务 器 ， 为 其 他 计算 机 提供 补丁 服务 

DELL WSS2008R2 172.30.5.5 Windows Storage Server 2008 R2, 为 虚拟 机 以 及 其 他 
服务 器 提供 网 络 存储 服务 

联想 datacenter 172.30.5.16 heinfo.local 的 第 二 台 域 控制 器 

浪潮 ws08r2-hyper-v 172.30.5.31 Windows Server 2008 R2， 添 加 Hyper-V 功能 ， 本 次 
实验 的 “主力 ” 

浪潮 | Hyper-V-2008R2 172.30.5.17 Hyper-V Server 2008 R2， 另 一 台 虚拟 化 主机 
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各 服务 器 用 千 兆 网 络 连 接 ， 摆 列 图 如 图 11-2 所 示 。 网 络 拓扑 如 图 11-3 所 示 。 


图 11-2 服务 器 外 形 图 


de. heinfo. local 。 datacenter. heinfo. local wss2008r2 WSUS 
172. 30. 5. 15 172. 30. 5. 16 172. 30. 5.5 172. 30. 5.6 


ws08r2-hyper-v 
172. 30. 5. 31 


hyper-v-2008r2 
172. 30. 5. 17 


图 11-3 ”网络 拓 和 


在 图 11-3 的 网 络 拓扑 中 ，172.30.5.15、172.30.5.16 的 Active Directory 服务 器 ，172.30.5.5 的 
Windows Storage Server 2008 R2 存储 服务 器 以 及 172.30.5.6 的 WSUS 服务 器 ,已 经 提前 安装 配置 好 。 
如 果 需 要 了 解 这 方面 的 内 容 , 可 参考 本 书 第 6 章 的 相关 内 容 。 本章 只 介绍 172.30.5.31 与 172.30.5.17 
这 两 台 服 务 器 的 安装 与 配置 。 


11.5 “安装 Windows Server 2008 R2 并 添加 HyperV 功能 


在 第 1 台 浪潮 服务 器 上 ， 规 划 服 务 器 的 硬盘 ， 然 后 安装 Windows Server 2008 R2 Datacenter， 
安装 完成 之 后 ， 添 加 Hyper-V 功能 ， 主 要 步骤 如 下 。 


4 使 用 Windows Server 2008 R2 的 安装 光盘 ， 启 动 安装 ， 在 “选择 要 安装 的 操作 系统 ”对 
话 框 中 ， 选 择 “Windows Server 2008 R2 Datacenter ( 完全 安装 ) ”选项 ， 如 图 11-4 所 示 。 也 可 以 
选择 企业 版 ， 不 推荐 选择 标准 版 与 Web 服务 器 版 本 。 

由 2 单 击 “ 下 一 步 ” 按钮 , 在 “您 想 进行 何 种 类 型 的 安装 ”对 话 框 中 ,选择 “ 自 定义 (高 级 )” 
选项 。 

03) 在 “您 想 将 Windows 安装 在 何 处 ”对 话 框 中 , 选择 第 1 个 分 区 , 在 本 例 中 , 这 是 用 RAID 


Hyper-V Server 2008 R2 虚拟 化 产品 配置 、 应 用 与 管理 第 11 党 


卡 划 分 的 第 1 个 逻辑 磁盘 ， 如 图 11-5 所 示 。 
CE 


寺 拉 天 区 肌 拉 作 大 六 (3) 


EEE Te 国 


您 起 将 天 ndons 安装 在 何 处 ? 


mom mom 


ndovs server 的 守 下 寺 ， 认 装订 吕 熙 用 户 界面， 并 甩 它 二 入 所 生肖 
广大 呈 师 ) 


ES 
11-4 选择 要 安装 的 版 本 图 11-5 选择 磁盘 


I04 安装 完成 后 ， 在 第 1 次 登录 之 前 更 改 密码 。 

tog 进入 系统 后 ， 修 改 计算 机 名 称 ， 然 后 重新 启动 计算 机 ， 如 图 11-6 所 示 。 

tQ6@j 再 次 进入 系统 后 ， 设 置 了 地 址 为 172.30.5.31， 设 置 DNS 为 172.30.5.15 或 172.30.5.16， 
然后 将 计算 机 加 入 到 heinfo local 域 ， 如 图 11-7 所 示 。 加 入 到 域 完 成 后 ， 重 新 启动 计算 机 。 


Gi Cn 1 
图 11-8 添加 Hyper-V 
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ij 在 安装 的 过 程 中 , 选择 一 块 网 卡 , 作为 虚拟 网 络 与 其 他 计算 机 进行 通信 , 如 图 11-9 所 示 。 
有 关 虚 拟 网 卡 我 们 将 在 后 文 介绍 。 
09j 安装 完成 之 后 ， 根 据 提示 重新 启动 计算 机 ， 如 图 11-10 所 示 。 


书 便于 谨 划 网 络 姻 雪 林 结 昌 
有 tn er sa ar Hz 

所 四 esi A He 
mm Na ns a | 于 1! ET 


E77 


Sr 
和 


ss | sm | ss 二 wa 
图 11-9 选择 网 卡 图 11-10 重新 启动 


至 此 ， 第 1 台 虚 拟 化 主机 安装 完成 。 


11.6 ”安装 Hyper-V Server 2008 R2 并 配置 远程 管理 


本 章 介绍 ， 在 第 2 台 浪潮 服务 器 上 ， 安 装 Hyper-V Server 2008 R2。 同 样 ， 还 是 采用 光盘 安装 
(如 果 Microsoft 修改 远程 安装 错误 , 则 可 以 通过 “Windows 部 署 服务 ”远程 安装 , 笔者 的 Windows 
Server 2008、Hyper-V Server 2008 都 曾经 远程 部 署 过 ) 。 与 Windows Server 2008 R2 不 同 ， 在 安装 
完 Hyper-V Server 2008 R2 之 后 , 还 需要 启用 一 些 配 置 才能 进行 管理 。 下 面 分 别 介绍 Hyper-V Server 
2008 R2 的 安装 与 配置 。 


11.6.1 Hyper-V Server 2008 R2 安装 与 更 新 


在 本 文 完稿 前 ，Microsoft 还 没有 推出 集成 SP1 的 Hyper-V Server 2008 R2。 用 户 可 以 安装 
Hyper-V Server 2008 R2， 安 装 完成 之 后 ， 再 安装 Windows Server 2008 SP1 补丁 进行 升级 。 本 次 实 
验 中 ， 我 们 将 通过 网 络 中 的 WSUS 服务 器 完成 所 有 的 补丁 的 升级 。 


0 和 使 用 Hyper-V Server 2008 R2 安装 光 人 盘 启 动 服务 器 , 在 安装 语言 界面 选择 “我 的 语言 为 中 
文 (简体 ) ”选项 ， 如 图 11-11 所 示 。 

[02 在 “您 想 将 Windows 安装 在 何 处 "界面 中 ,创建 一 个 100GB 左右 的 分 区 用 来 安装 HyperV 
Server 2008 R2， 如 图 11-12 所 示 。 在 本 例 中 ， 我 们 的 服务 器 安装 了 一 个 1TB 的 SATA 硬盘 (你 没 
有 看 错 ， 正 在 使 用 的 服务 器 除了 支持 SAS 硬盘 ， 还 支持 SATA 硬盘 ) ， 在 创建 100GB 左右 的 分 区 
时 ，Hyper-V Server 2008 R2 安装 程序 会 自动 划分 一 个 100MB 的 分 区 用 于 系统 保留 。 
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i ms 
ta BI 


图 11-11 选择 安装 语言 图 11-12 选择 安装 磁盘 并 创建 分 区 
103| 在 安装 完成 之 后 , 进入 Hyper-V Server 2008 R2, 如 图 11-13 所 示 , Hyper-V Server 2008 R2 
只 有 一 个 文本 管理 界面 ， 如 图 11-13 所 示 。 


和 Hyper-V 管理 界面 
11.6.2 将 Hyper-V Server 2008 R2 加 入 到 域 并 安装 最 新 补丁 


进入 Hyper-V Server 2008 R2 管理 界面 之 后 ， 修 改 计算 机 的 名 称 ， 重 新 启动 ， 加 入 到 域 、 下 载 
并 安装 最 新 的 补丁 ， 主 要 步骤 如 下 。 


io 在 HyperV 管理 界面 中 ， 在 “输入 数字 来 选择 选项 ”后 面 输入 想 要 执行 的 命令 ， 首 先 输 
入 2， 然 后 按 回 车 键 ， 为 Hyper-V Server 2008 R2 计算 机 设置 新 的 名 称 。 在 本 例 中 ， 这 个 名 称 为 
“Hyper-v-2008r2”， 设 置 完成 之 后 ， 根 据 向 导 提示 重新 启动 计算 机 。 

四 有 2 再 次 进入 计算 机 后 ， 在 “输入 数字 来 选择 选项 ”后 输入 数字 8， 设置 当前 计算 机 的 下 地 
址 为 172.30.5.17， 设置 DNS 为 172.30.5.15、172.30.5.16。 设置 他 地 址 之 后 ,输入 数字 1 并 按 回 车 
键 ， 将 计算 机 加 入 到 域 ， 在 本 例 中 ， 域 名 为 heinfo.local， 如 图 11-14 所 示 。 加 入 到 域 之 后 ， 重 新 启 
动 计 算 机 。 

to 引 第 3 次 进入 系统 后 ， 在 “输入 数字 来 选择 选项 ”后 输入 数字 6， 下 载 并 安装 更 新 。 如 
图 11-15 所 示 。 
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图 11-14 将 计算 机 加 入 到 域 图 11-15 检查 并 安装 更 新 


全 


在 本 次 实验 中 ， 是 使 用 网 络 中 的 WSUS 服务 器 进行 Hyper-V Server 2008 的 补丁 安装 。 并 且 ， 是 在 
172.30.5.15 或 172.30.5.16 的 “ 域 控制 器 ”中 ， 通 过 修改 组 策略 ， 为 域 中 的 所 有 计算 机 配置 为 采用 WSUS 
服务 器 进行 更 新 。 


94 安装 完 更 新 之 后 ， 重 新 启动 计算 机 。 如 果 更 新 比较 多 ， 有 的 时 候 一 次 不 能 下 载 并 安装 完 
所 有 的 更 新 。 第 4 次 进入 系统 后 ， 须 再 次 检查 并 安装 更 新 ， 直 到 所 有 的 更 新 都 全 部 安装 完成 为 止 。 
图 11-16 是 将 Hyper-V Server 2008 R2 升级 到 SP1 之 后 的 截图 。 


11-16 升级 到 SP1 
11.6.3 配置 Hyper-V Server 2008 R2 用 于 远程 管理 
在 将 Hyper-V 加 入 到 域 并 安装 最 新 的 补 本 后， 配置 Hyper-V 并 允许 远程 管理 ， 步 骤 如 下 。 


0 在 Hyper-V Server 2008 R2 管理 界面 选择 “配置 远程 管理 ”， 并 依次 配置 “允许 MMC 远 
程 管理 ”、“ 启 用 Windows PowerShell”、“ 人 允许 服务 器 管理 器 远程 管理 ”， 如 图 11-17 所 示 。 在 
配置 远程 管理 的 过 程 中 ， 根 据 屏 幕 提示 ， 重 新 启动 计算 机 。 

02 在 网 络 中 的 另外 一 全 计算 机 上 , 在 正 浏览 器 中 打开 http://archive.msdn.microsoft.com/ 
HVRemote 页 ， 下 载 HyperV Remote Management Configuration Utility 程序 ， 这 是 一 个 名 为 
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HVRemote.wsf、 大 小 为 249KB 的 程序 。 下 载 之 后 ， 通 过 共享 文件 夹 复 制 到 Hyper-V 计算 机 的 C 
盘 或 D 盘 ， 然 后 再 次 返回 到 Hyper-V Server 2008 R2， 在 命令 提示 窗口 中 执行 如 下 的 命令 : 
cscript hvremote.wsf /mode:server /add:heinfo\administrator 


这 条 命令 是 为 Hyper-V Server 2008 R2 添加 一 个 用 于 远程 管理 的 账户 ， 本 例 中 这 个 账户 是 
heinfo 域 的 Administrator。 执 行 界面 如 图 11-18 所 示 。 


图 11-17 配置 远程 管理 图 11-18 在 服务 器 上 添加 远程 管理 账户 
在 以 后 的 工作 中 ， 我 们 将 使 用 他 地 址 为 172.30.5.31 的 Windows Server 2008 R2 管理 Hyper-V 
Server 2008 R2， 或 者 使 用 SCVMM 2008 R2 管理 Hyper-V Server 与 Windows Server 2008 R2。 接 下 
来 还 要 为 远程 管理 Hyper-V Server 2008 R2 做 进一步 的 配置 ， 步 又 如 下 。 


0 在 Windows Server 2008 R2 计算 机 上 ， 运 行 下 载 的 HVRemote.wsf， 命令 格式 如 下 : 
cscript hvremote.wsf /mode:client /mmc:enable 
命令 执行 过 程 如 图 11-19 所 示 。 


11-19 在 管理 计算 机 上 启用 远程 管理 
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92 运行 MMC, 添加 “高 级 安全 Windows 防火 墙 一 选择 另 一 人 台 计 算 机 一 输入 Hyper-V Server 
2008 R2 的 外 地 址 (本 例 为 172.30.5.17) ”， 然 后 在 “入 站 规则 ”中 启用 “Windows Management 
Instrumentation” 相 关 的 3 条 规则 ， 如 图 11-20 所 示 。 

然后 在 “出 站 规则 ”中 ， 启 用 “Windows Management Instrumentation 《WMI-Out〉 ”规则 ， 如 
图 11-21 所 示 。 


中 
站 难 上 
日 号 WE 


11-20 启用 入 站 规则 图 11-21 启用 出 站 规则 
经 过 上 述 配 置 ， 就 可 以 管理 Hyper-V Server 2008 R2 了 ， 步 又 如 下 。 


1 以 域 管 理 员 的 身份 登录 到 Windows Server 2008 R2, 在 用 户 名 处 输入 heinfovadministrator， 
然后 输入 管理 员 密码 ， 如 图 11-22 所 示 。 

02 从 “管理 工具 ”中 打开 “Hyper-V 管理 器 ”选项 ， 右 击 “Hyper-V 管理 器 ”， 在 弹出 的 
快捷 菜单 中 选择 “连接 到 服务 器 ”选项 ， 如 图 11-23 所 示 。 


和 
Nr 


ET 


图 11-22 ”以 域 管理 员 身 份 登录 11-23 ”连接 到 服务 器 


I03) 在 “选择 计算 机 ”对 话 框 中 ,选择 “ 另 一 全 计算 机 ” 单 选 按钮 ， 并 输入 要 管理 的 Hyper-V 
Server 2008 R2 计算 机 的 瑟 地 址 或 计算 机 名 称 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 11-24 所 示 。 

io 级 略 等 一 下 , 就 可 以 连接 到 Hyper-V Server 2008 R2, 如 图 11-25 所 示 .。 由 于 Hyper-V Server 
2008 R2 还 没有 创建 虚拟 机 ， 所 以 在 “虚拟 机 ”列表 中 没有 显示 。 
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11-24 连接 到 另 一 台 计算 机 11-25 ”连接 到 HyperV Server 2008 R2 


在 使 用 “Hyper-V 管理 器 ”连接 到 Hyper-V Server 2008 R2 之 后 , 管理 Hyper-V Server 2008 R2， 
与 使 用 Windows Server 2008 R2 启用 Hyper-V 功能 之 后 ,创建 、 管 理 与 使 用 虚拟 机 ， 以 及 管理 虚拟 
网 络 之 后 的 步骤 ， 都 是 相同 的 。 在 以 后 的 管理 中 ， 我 们 将 不 再 对 这 两 台 服 务 器 加 以 区 别 。 


05) 使 用 远程 桌面 连接 到 Hyper-V Server 2008 R2， 进 入 命令 提示 符 ， 格 式 化 D 盘 ， 然 后 创建 
一 个 文件 夹 用 来 保存 虚拟 机 。 在 本 例 中 ， 创 建 的 文件 夹 名 为 “Hyper-V”， 如 图 11-26 所 示 。 


图 11-26 创建 文件 夹 用 来 保存 虚拟 机 


11.7 理解 并 配置 Hyper-V 虚拟 网 络 


在 HyperV 中 ， 虚 拟 网 络 分 为 3 种 : “外 部 ”、“ 内 部 ”、“ 专 用 ”。 这 些 虚拟 网 络 与 主机 、 
虚拟 机 以 及 网 络 中 其 他 计算 机 的 关系 ， 如 图 11-27 所 示 。 
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连接 到 Internet 


虚拟 机 Rs 
A03 ~ 外 部 一 虚拟 网 卡 
| _-- 人 一 ---- | pp Ww 
i / 主机 物理 网 卡 
人 ms 
虚拟 机 连接 到 虚拟 交换 机 一 一 
A02 - A 内 部 1 
及 二 | 
/ 内 部 专用 虚 
; 虚拟 交换 机 所 网卡 
" 
专用 
虚拟 机 > 虚拟 交换 机 
/ 1 Ry 
| 下 
Pa 
| 
2 虚拟 机 
虚拟 机 / 和 A23 
All 虚拟 机 
Al2 
虚拟 机 
人 1 2 


图 11-27 Hyper-V 虚拟 网 络 


“外 部 ”虚拟 网 络 ， 是 Hyper-V 通过 将 “Microsoft 虚拟 交换 机 协议 ” 绑 定 在 主机 网 卡 上 实现 
的 。 如 果 虚 拟 机 选择 “外 部 ”虚拟 网 络 ， 则 虚拟 机 “相当 ”于 网 络 中 的 一 台 计 算 机 ， 是 可 以 与 物理 
网 络 中 的 其 他 计算 机 、 主 机 互相 访问 的 。 例 如 ， 在 图 11-27 中 ， 虚 拟 机 A01、A02、A03 与 物理 主 
机 A 以 及 同一 网 络 的 其 他 计算 机 是 可 以 互相 访问 的 。 虚 拟 机 A01、A02、A03 也 能 访问 Internet。 

“内 部 ”虚拟 网 络 只 允许 虚拟 机 与 主机 互相 访问 ， 不 能 访问 外 部 〈 物 理 网 络 上 的 计算 机 或 外 
部 网 络 ， 例 如 Internet) ， 外 部 也 不 能 访问 “内 部 ”的 虚拟 机 。 例 如 ， 在 图 11-27 中 ， 虚 拟 机 Al1、 
Al2 以 及 A 可 以 互相 访问 ， 但 不 能 访问 物理 网 络 上 的 其 他 计算 机 。 

“专用 ”虚拟 网 络 只 允许 虚拟 机 之 间 互 相 访问 , 与 物理 主机 也 不 能 互相 访问 。 例 如 , 在 图 11-27 
中 ，A21、A22、A23 可 以 互相 访问 ， 但 不 能 访问 物理 主机 A。 

在 同一 个 物理 主机 中 ，“ 外 部 ”、“ 内 部 ”、“ 专 用 ”虚拟 网 络 ， 相 当 于 物理 网 络 中 的 不 同 
的 “交换 机 ”， 它 们 之 间 没 有 网 络 关 系 。 例 如 ， 在 图 11-27 中 ， 虚 拟 机 A11、A21 不 能 互相 访问 ， 
A01、A12 也 不 能 互相 访问 。 除 非 物 理 主机 启用 “路 由 和 远程 访问 ”服务 中 的 “路 由 器 ”功能 ， 为 
这 两 个 网 段 提供 访问 服务 。 

在 同一 个 物理 主机 中 ， 也 可 以 有 多 个 “外 部 ”、“ 内 部 ”、“ 专 用 ”虚拟 网 络 ， 即 使 都 是 “内 
部 ”或 “专用 ”虚拟 网 卡 ， 不 同 的 “内 部 ”虚拟 网 络 之 间 的 虚拟 机 ， 也 是 不 能 互相 访问 的 ， 网 络 关 
系 如 图 11-28 所 示 。 
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下 文通 过 几 个 操作 ， 来 熟悉 Hyper-V 虚拟 网 络 。 
11.7.1 ”查看 物理 网 卡 与 虚拟 网 卡 


在 Hyper-V 中 ， 主 要 是 创建 “外 部 ”虚拟 网 络 ， 很 少 或 基本 不 用 “内 部 ”或 “专用 ”虚拟 网 
络 ， 因 为 Hyper-V 提供 的 虚拟 机 主要 是 为 网 络 中 的 其 他 计算 机 提供 网 络 服务 的 。 当 然 ， 如 果 只 是 
用 Hyper-V 做 实验 主机 则 另 当 别论 。 

由 于 “外 部 ”虚拟 网 络 需 要 “ 绑 定 ”到 主机 的 物理 网 卡 ， 所 以 ， 当 主机 有 多 个 物理 网 卡 时 一 
般 服 务 器 至 少 有 2 个 物理 网 卡 , 而 像 HP DL380G7 系列 的 服务 器 ， 则 集成 4 个 网 卡 )， 用户 要 记得 ， 
创建 的 “外 部 ”虚拟 网 络 是 绑 定 到 哪 一 块 物理 网 卡 ， 这 样 在 使 用 的 时 候 才 不 至 于 出 错 。 查 看 网 卡 信 
息 的 具体 操作 步骤 如 下 。 


@ 和 打开 “控制 面板 一 网 络 和 Intemet 一 网 络 和 共享 中 心 ”， 单 击 左 侧 的 “更 改 适配器 设置 ” 
链接 ， 如 图 11-29 所 示 。 
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11-29 更改 适配器 设置 
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9 有 2 在 打开 的 “网 络 连接 ”窗口 中 ， 以 “详细 信息 ”方式 查看 ， 然 后 对 每 个 网 卡 重新 命名 ， 
并 记 下 网 卡 对 应 的 “设备 名 ”, 如 图 11-30 所 示 . 在 本 例 中 , 将 2 块 物理 网 卡 分 别 命名 为 lan 与 lan2。 
虽然 这 2 个 网 卡 都 是 Intel 的 网 卡 ， 但 lan2 的 设备 名 称 中 多 出 “#2”， 这 表示 是 第 2 个 网 卡 。 而 在 
绑 定 物理 网 卡 时 ， 则 是 利用 这 个 设备 名 进行 分 辨 的 。 


Bs i 二 
x ml BEM IEY SY RW 


11-30” 记 下 网 卡 设备 名 


03) 在 图 11-30 中 ,还 有 一 个 名 为 “本 地 连接 2” 的 虚拟 网 卡 ， 这 个 网 卡 绑 定 在 第 1 个 物理 网 
卡 上 ， 这 是 我 们 安装 Hyper-V 时 (如 图 11-9 所 示 ) ， 选 择 的 “外 部 ”网 卡 。 
0 多 用 鼠标 双击 第 1 个 物理 网 卡 (网 卡 重 命名 为 lan) ， 进 入 “lan 属性 ”对 话 框 ， 在 “此 连 


接 使 用 下 列 项 目 ” 选 项 组 中 可 以 看 到 ,当前 只 绑 定 了 “Microsoft 虚拟 网 络 交 换 机 协议 ”, 如 图 11-31 
所 示 。 


在 创建 “外 部 ”虚拟 网 络 时 ，HyperV 将 绑 定 “Microsoft 虚拟 网 络 交换 机 ”到 物理 网 卡 ， 并 
在 创建 新 的 “外 部 ”虚拟 网 卡 时 ， 将 绑 定 的 物理 网 卡 原来 的 瑟 地 址 、 参 数 等 ， 在 虚拟 网 卡 上 启用 ， 
这 样 原来 物理 主机 的 网 络 才 不 会 中 断 。 


05) 双击 “本 地 连接 2”， 在 “本 地 连接 2 状态 ”的 “详细 信息 ”中 可 以 看 到 ， 这 个 虚拟 网 
卡 中 的 信息 是 原来 物理 主机 网 卡 的 相关 参数 ， 如 图 11-32 所 示 。 
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11-31 绑 定 虚拟 网 络 交换 机 协议 图 11-32 虚拟 网 卡 参数 
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11.7.2 ”管理 虚拟 网 络 
接 下 来 介绍 HyperV 虚拟 网 络 的 管理 ， 包 括 添 加 、 删 除 、 修 改 虚拟 网 络 。 


四 从 “管理 工具 ”中 选择 “Hyper-V 管理 器 ”， 如 图 11-33 所 示 ， 在 左 侧 的 任务 窗 格 中 选 
中 要 管理 的 Hyper-V Server 2008 R2 或 安装 Hyper-V 功能 的 Windows Server 2008, 在 右 侧 的 “操作 ” 


窗 格 中 单 击 “ 虚 拟 网 络 管理 器 ”。 

I02 在 “虚拟 网 络 管理 器 ”窗口 中 ， 在 “虚拟 网 络 ”列表 中 选择 “lan- 虚 拟 网 络 ”， 在 右 侧 的 
“虚拟 网 络 属 性 ”中 可 以 修改 虚拟 网 络 的 名 称 以 及 说 明 信 息 ， 在 “连接 类 型 ”选项 组 中 可 以 修改 虚 
拟 网 络 的 连接 类 型 ， 在 “外 部 ”、“ 仅 内 部 ”、“ 专 用 虚拟 机 网 络 ” 之 间 进 行 选 择 。 如 果 主 要 有 多 
个 物理 网 卡 并 且 选 中 “外 部 ” 单 选 按钮 ， 则 可 以 在 下 拉 列 表 中 ， 选 择 使 用 那 块 物理 网 卡 进 行 绑 定 ， 
绑 定 的 名 称 则 是 图 11-30 中 所 显示 的 “设备 名 称 ”， 如 图 11-34 所 示 。 
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图 11-33 Hyper-V 管理 器 图 11-34 ”虚拟 网 络 属性 

03 如 果 要 删除 虚拟 网 络 ， 可 以 单 击 “ 移 除 ” 按 钮 。 

如 果 要 添加 虚拟 网 络 ， 可 以 按照 下 面 的 步骤 进行 。 

0 和 在 “虚拟 网 络 管理 器 ”中 ， 定 位 到 “新 建 虚 拟 网 络 ”， 在 右 侧 选择 要 创建 的 虚拟 网 络 类 
型 一 一 在 “外 部 ”、“ 内 部 ”、“ 专 用 ”之 间 选 择 。 选 中 之 后 ， 单 击 “ 添 加 ”按钮 ， 如 图 11-35 所 
示 。 在 本 例 中 ， 选 择 “ 内 部 ”。 

to3 在 “名 称 ”文本 框 中 ， 输 入 新 添加 的 虚拟 网 络 的 名 称 ， 一 般 情 况 下 ， 添 加 的 名 称 与 网 络 
的 属性 相关 ， 这 样 在 以 后 的 使 用 中 也 容易 管理 与 区 分 ， 如 图 11-36 所 示 。 在 “连接 类 型 ”中 选择 虚 
拟 网 络 类 型 ， 如 果 要 创建 多 个 虚拟 网 络 ， 也 可 以 用 虚拟 LAN 进行 标识 ， 可 以 选中 “启用 管理 操作 
系统 的 虚拟 LAN 标识 ” 复 选 框 并 为 VLAN 设置 了 D.。 
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11-35 选择 要 添加 的 虚拟 网 络 类 型 11-36 新 建 虚拟 网 络 


03j 设置 完成 之 后 ， 如 果 只 添加 这 一 个 虚拟 网 络 ， 则 单 击 “ 确 定 ”按钮 退出 ; 如 果 想 继续 添 
加 虚拟 网 络 ， 可 以 单 击 “ 应 用 ”按钮 ， 然 后 单 击 “新 建 虚拟 网 络 ”， 继 续 添加 。 

0 旨 接 下 来 ， 再 添加 “专用 -虚拟 网 络 ”、“ 内 部 -虚拟 网 络 2”， 添 加 完成 后 ， 单 击 “ 确 定 ” 
按钮 ， 如 图 11-37 所 示 。 

0g 返回 到 “网 络 连接 ”中 可 以 看 到 ， 已 经 添加 了 “内 部 -虚拟 网 络 ”与 “内 部 -虚拟 网 络 2”， 
而 添加 的 “专用 -虚拟 网 络 ” 则 没有 在 “网 络 连接 ”中 列 出 ， 如 图 11-38 所 示 。 这 是 正确 的 ， 因 为 
在 前 面 介 绍 过 ，“ 专 用 ”虚拟 网 络 与 主机 没有 网 络 连 接 关系 。 
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图 11-37 添加 多 个 虚拟 网 络 图 11-38 网络 连接 


11.8 ”Hyper-V 虚拟 机 管理 


在 本 节 中 ， 开 始 介绍 Hyper-V 虚拟 机 的 管理 ， 包 括 虚拟 机 的 创建 、 在 虚拟 机 中 安装 操作 系统 
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与 集成 服务 (相当 于 Hyper-V 虚拟 机 的 驱动 )、 导 出 与 导入 虚拟 机 、 差 异 磁盘 等 内 容 。 在 学 习 这 些 
内 容 之 前 ， 我 们 先 对 HyperV 进行 简单 的 配置 ， 操 作 步 又 如 下 。 


1 在 “Hyper-V 管理 器 ”窗口 中 单 击 “Hyper-V 设置 ”( 如 图 11-39 所 示 ) ,进入 “Hyper-V 
设置 ”窗口 ， 在 右 侧 “虚拟 硬盘 ” 窗 格 中 ， 单 击 “ 浏 览 ”按钮 ， 为 虚拟 机 与 虚拟 硬盘 选择 一 个 默认 
位 置 。 一 般 情 况 下 ， 要 选择 一 个 空间 比较 大 的 、NTFS 文件 系统 的 目录 。 在 本 例 中 ， 这 个 位 置 是 E: 
\Hyper-VHDs， 如 图 11-40 所 示 。 
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图 11-39 HyperV 设置 图 11-40 指定 虚拟 机 与 虚拟 硬盘 默认 保存 位 置 


92 在 “鼠标 释放 键 ” 处 ， 可 以 选择 从 虚拟 机 返回 到 主机 的 热 键 ， 默 认 是 “CtrH+ALT+ 一 ”， 
也 可 以 根据 自己 的 情况 进行 选择 ， 如 图 11-41 所 示 。 


图 11-41 选择 鼠标 释放 键 


如 果 你 的 服务 器 的 显卡 是 Intel 集成 显卡 ， 并 且 安装 了 显卡 驱动 程序 , 则 “Ctrl+Altt*-” 与 显卡 快捷 
键 ( 将 屏幕 向 左旋 转 90” ) 冲突 。 为 了 避免 这 种 情况 ， 可 以 禁用 Intel 集成 显卡 的 快捷 健 , 或 者 在 上 图 中 ， 
选择 其 他 热 键 。 


在 对 Hyper-V 进行 简单 配置 后 ， 我 们 来 介绍 虚拟 机 的 管理 的 内 容 。 
11.8.1 创建 模板 虚拟 机 
在 Hyper-V 中 创建 虚拟 机 比较 简单 , 以 创建 一 个 将 要 安装 Windows Server 2008 R2 操作 系统 的 
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虚拟 机 为 例 进 行 介 绍 ， 具 体 步 骤 如 下 。 


to 出 在 “HyperV 管理 器 ”中 ， 在 左 侧 的 任务 窗 格 中 ， 选 择 要 在 哪 一 个 主机 创建 虚拟 机 ， 用 
鼠标 右键 单 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ~ 虚 拟 机 ”， 如 图 11-42 所 示 。 或 者 在 右 侧 的 “ 操 
作 ” 窗 格 中 单 击 “新 建 一 虚拟 机 ”， 也 可 以 进入 新 建 虚拟 机 向 导 页 。 
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11-42 ”新 建 虚 拟 机 
to3 在 “指定 名 称 和 位 置 ”对 话 框 中 ,设置 新 建 虚 拟 机 的 名 称 ， 在 本 例 中 为 “ws08r2-temp”， 
如 图 11-43 所 示 。 
03) 在 “分 配 内 存 ” 对 话 框 中 ,为 虚拟 机 分 配 内 存 的 大 小 ， 一 般 情况 下 ， 设 置 为 1024MB ( 即 
1GB ) 即 可 ， 如 图 11-44 所 示 。 
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图 11-43 ”指定 虚拟 机 的 名 称 图 11-44 ”为 虚拟 机 分 配 内 存 
0 多 在 “配置 网 络 ” 对 话 框 中 ， 为 虚拟 机 选择 网 卡 一 一 选择 不 同 的 网 卡 将 连接 到 不 同 的 虚拟 
网 络 。 在 Hyper-V 虚拟 机 中 ， 通 常 选择 连接 到 物理 网 络 的 虚拟 网 卡 ， 因 为 Hyper-V 的 服务 器 一 般 
是 对 外 提供 服务 的 。 在 本 例 中 选择 “lan- 虚 拟 网 络 ”， 如 图 11-45 所 示 。 在 前 面 的 学 习 中 我 们 知道 ， 
这 块 网 卡 连接 到 第 1 块 物 理 网 卡 。 
tOg 在 “连接 虚拟 硬盘 ”对 话 框 中 ， 选 中 “创建 虚拟 硬盘 ” 单 选 按钮 ，“ 大 小 ”保持 默认 值 
127GB， 如 图 11-46 所 示 。 
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图 11-45 配置 网 络 


pms] sm | | 
图 11-46 ”连接 虚拟 硬盘 
06j 在 “安装 选项 ”对 话 框 中 ， 选 中 “从 引导 CD/DVD-ROM 安装 操作 系统 ” 单 选 按钮 ， 并 
选中 “映像 文件 ” 单 选 按钮 , 并 浏览 选择 Windows Server 2008 R2 With SP1 的 光盘 镜像 ， 如 
所 示 。 如 果 要 安装 其 他 的 操作 系统 ， 可 选择 对 应 的 操作 系统 安装 镜像 。 
lg 在 “正在 完成 新 建 虚拟 机 向 导 ” 对 话 框 中 ， 查 看 创建 虚拟 机 的 配置 信息 ， 如 果 需 要 修改 ， 
可 单 击 “ 上 一 步 ”按钮 。 确 认 无 误 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 11-48 所 示 。 


图 11-47 
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图 11-47 选择 操作 系统 安装 光盘 镜像 


11.8.2 ”在 虚拟 机 中 安装 操作 系统 


<b-S0) | Te EE 
图 11-48 ”创建 虚拟 机 向 导 完成 


在 创建 虚拟 机 之 后 ， 接 下 来 开始 启动 虚拟 机 并 在 虚拟 机 中 安装 操作 系统 ， 安 装 Hyper-V 集成 
服务 ， 主 要 步骤 如 下 。 


[0 和 在 “Hyper-V 管理 器 ”窗口 中 ， 选 中 新 创建 的 虚拟 机 ， 使 用 鼠标 右 击 ， 选 择 “连接 ” 命 
令 ， 如 图 11-49 所 示 。 
I02 连接 到 虚拟 机 之 后 ， 单 击 “ 全 ”按钮 启动 虚拟 机 ， 如 图 11-50 所 示 。 
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eT 


图 11-49 连接 虚拟 机 11-50 ”启动 虚拟 机 


io3j 当 虚 拟 机 启动 之 后 ， 用 鼠标 在 虚拟 机 窗口 中 单 击 ， 然 后 就 像 在 物理 计算 机 中 一 样 ， 在 虚 
拟 机 中 安装 操作 系统 ， 这 些 不 一 一 介绍 。 在 本 例 中 ,将 安装 Windows Server 2008 R2 Enterprise ( 完 
全 安装 ) ， 如 图 11-51 所 示 。 
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EE 
才 | 月 回 @@@ Hh 


5 EEE SNa. 


图 11-51 安装 Windows Server 2008 R2 企业 版 


04) 由 于 Windows 7、Windows Server 2008 R2 等 操作 系统 已 经 集成 了 “Hyper-V 的 集成 服务 ”， 
所 以 在 安装 完成 之 后 , 不 需要 安装 这 些 。 如 果 你 在 虚拟 机 中 安装 的 是 Windows XP、Windows Server 
2003 等 操作 系统 ， 须 单 击 “ 操 作 一 插入 集成 服务 安装 盘 ”， 然 后 在 虚拟 机 的 “光驱 ”中 运行 安装 
程序 并 安装 Hyper-V 集成 服务 。 

tog 在 安装 好 操作 系统 之 后 ， 对 于 虚拟 机 而 言 ， 要 关闭 “屏幕 保护 程序 ”， 在 “控制 面板 一 
硬件 一 电源 选项 ”中 ， 为 虚拟 机 选择 “高 性 能 ”， 并 且 取 消 “ 关 闭 显示 器 ”的 选择 ， 如 图 11-52 所 
示 。 因 为 对 于 虚拟 机 而 言 ， 开 启 屏 幕 保护 等 操作 是 没有 意义 的 ， 如 果 启 用 这 些 配置 ， 会 占用 系统 
资源 。 
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图 11-52 关闭 屏幕 保护 

如 果 要 将 这 个 虚拟 机 作为 模板 并 “克隆 ”出 多 个 虚拟 机 ， 就 要 为 这 台新 安装 的 虚拟 机 安装 最 新 
的 补丁 ， 并 安装 必需 的 软件 ,例如 压缩 解 、 压 缩 软 件 等 ， 安 装 完成 之 前 ,运行 sysprep 程序 并 关机 ， 
以 后 这 台 虚 拟 机 将 做 为 “模板 ”保存 并 不 再 使 用 ， 主 要 操作 步骤 如 下 。 


.04 进入 命令 提示 符 ， 在 %systemroot%e\system32\sysprep 目录 中 ， 执 行 sysprep 程序 ， 在 弹出 
的 “系统 准备 工具 3.14” 对 话 框 中 ， 在 “关机 选项 ”下 拉 列 表 中 选择 “关机 ”， 如 图 11-53 所 示 ， 
sysprep 程序 运行 完成 之 后 将 自动 关机 。 

3 当 虚 拟 机 关机 之 后 ， 如 图 11-54 所 示 ， 继 续 后 面 的 操作 。 


11-53 ”运行 系统 准备 工具 图 11-54 运行 sysprep 完成 


11.8.3 ”导出 与 导入 虚拟 机 


使 用 一 个 设置 好 的 “模板 ”虚拟 机 创建 多 个 相同 的 备份 ， 有 两 种 方法 ， 一 种 是 将 选 定 的 虚拟 
机 “导出 ”然后 再 改名 “导入 ”， 这 种 方法 创建 的 虚拟 机 与 原 虚拟 机 完全 一 样 ， 包 括 占用 的 硬盘 空 
间 大 小 都 相同 ; 另 一 种 是 以 “模板 ”虚拟 机 为 基准 ， 使 用 “差异 ”磁盘 创建 多 个 虚拟 机 ， 新 创建 的 
虚拟 机 “依附 ”模板 虚拟 机 的 磁盘 ， 而 新 虚拟 机 的 改动 只 反映 在 新 创建 的 “差异 ”磁盘 中 ， 并 占用 
减 小 的 空间 。 
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对 于 这 两 种 方式 创建 的 虚拟 机 ， 如 果 “ 模 板 ” 虚 拟 机 被 再 次 启动 或 删除 ， 使 用 “导出 ”再 “ 导 
入 ”的 虚拟 机 将 不 受 影响 ， 但 使 用 “差异 ”磁盘 创建 的 虚拟 机 将 不 能 启动 。 
在 HyperV 管理 器 中 ， 导 出 虚拟 机 的 步骤 如 下 。 


I0 在 “HyperV 管理 器 ”窗口 中 ， 选 择 要 导出 的 虚拟 机 ， 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜 
单 中 选择 “导出 ”命令 ， 如 图 11-55 所 示 。 

to3 在 弹出 的 “导出 虚拟 机 ”对 话 框 中 ， 为 导出 的 虚拟 机 选择 一 个 不 同 的 位 置 ( 相对 模板 虚 
拟 机 来 说 ) ， 在 此 选择 E: \MSVM-VHD， 如 图 11-56 所 示 。 
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图 11-55 导出 虚拟 机 图 11-56 选择 导出 位 置 


导出 虚拟 机 完成 之 后 ， 导 入 虚拟 机 的 步骤 如 下 。 


0 和 右 击 要 导入 虚拟 机 的 Hyper-V 物理 主机 ,在 弹出 的 快捷 菜单 中 选择 “导入 虚拟 机 ” 命令， 
如 图 11-57 所 示 。 
to3 在 弹出 的 “导入 虚拟 机 ”对 话 框 中 ， 单 击 “ 浏 览 ”按钮 ， 如 图 11-58 所 示 。 
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图 11-57 导入 虚拟 机 图 11-58 浏览 


to3 在 “选择 文件 夹 ” 对 话 框 中 ， 选 择 图 11-56 导出 的 虚拟 机 位 置 ， 可 以 看 到 有 一 个 
“ws08r2-temp” 的 文件 夹 ， 这 即 是 导出 的 虚拟 机 的 目录 ， 在 导入 之 后 ， 用 鼠标 右 击 为 其 重 命名 ， 
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如 图 11-59 所 示 。 
4 在 本 例 中 ， 将 其 改名 为 ws08r2-001， 如 图 11-60 所 示 。 
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图 11-59 重 命名 1 


11-60 文件 夹 改名 
log 改名 之 后 选择 这 个 文件 夹 ， 返回 到 “导入 虚拟 机 ”对 话 框 ， 在 “设置 ”选项 组 中 选中 “ 复 
制 虚 拟 机 (创建 新 的 唯一 ID ) ” 单 选 按钮 ， 如 图 11-61 所 示 ， 然 后 单 击 “ 导 入 ”按钮 开始 导入 。 
08 导入 完成 之 后 ， 会 弹出 警告 信息 ， 单 击 “ 确 定 ”按钮 即 可 。 


人 者 Wt 伯 季 当 伯伯 和 伯 夫 抽 时 


D0 0) 
设置 


导入 设置 : 

个 移动 惑 还 珠 虚 8 机 (法 用 现 有 的 叭 一 ID) 9) 

人 入 HW 他 要 新 的 惟 一 ID) Oo) 

厂 要 所 有 6 文件 以 全 再 次 导入 相交 89 虚 所 机 0) 

0 i 无 法 再 次 导入 相 网 的 诬 拟 记 ， 上 除非 您 己 首先 检 其 各 份 到 另 


LL 
图 11-61 开始 导入 虚拟 机 
0 返回 到 “Hyper-V” 管理 器 窗口 后 , 在 “虚拟 机 ”列表 框 中 , 可 以 看 到 有 两 个 “ws08r2-temp” 


名 称 的 虚拟 机 ,使 用 鼠标 右键 单 击 选中 后 一 个 虚拟 机 (这 个 是 刚才 导入 的 )， 在 弹出 的 快捷 菜单 中 
选择 “ 重 命名 ”命令 ， 如 图 11-62 所 示 。 


图 11-62 重 命名 2 
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08| 在 本 例 中 ， 将 新 导入 的 虚拟 机 各 


TREE 
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EE Mrs 


生命 名 为 “ws08r2-001”， 如 图 11-63 所 示 。 
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图 11-63 重 命名 虚拟 机 


然后 选中 ws08r2-001 虚拟 机 ， 单 击 鼠 标 右键 在 弹出 的 快捷 菜单 中 选择 “设置 ”命令 ， 弹 出 
“ws08r2-001 的 设置 ”窗口 ， 在 “硬盘 驱动 器 ”的 右 侧 单 击 “检查 ”按钮 ， 可 以 看 到 当前 导入 的 
虚拟 机 的 磁盘 文件 、 保 存 位 置 、 磁 盘 〈 使 用 ) 大 小 及 磁盘 的 最 大 值 ， 如 图 11-64 所 示 。 

然后 再 检查 ws08r2-temp“ 模 板 ” 虚 拟 机 的 磁盘 的 大 小 ， 如 图 11-65 所 示 ， 发 现 与 ws08r2-001 


的 大 小 一 致 。 
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图 11-64 检查 磁盘 大 小 


图 11-65 检查 模板 虚拟 机 的 磁盘 大 小 


接 下 来 ， 学 习 使 用 “差异 ”磁盘 创建 多 个 相同 虚拟 机 的 方法 ， 为 了 避免 “模板 ”虚拟 机 被 误 


用 导致 新 创建 的 虚拟 机 不 能 使 用 ， 须 在 “ 


HyperV 管理 器 ”中 删除 模板 虚拟 机 ， 如 图 11-66 所 示 。 


在 “HyperV 管理 器 ”中 删除 虚拟 机 时 ， 这 只 是 在 “虚拟 机 ”列表 中 删除 ， 并 不 是 真正 地 从 硬盘 中 
删除 虚拟 机 硬盘 文件 。 
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11.8.4 ”使 用 差异 磁盘 


在 下 面 的 步骤 中 , 我 们 将 介绍 在 虚拟 机 中 使 用 差异 磁盘 的 方法 。 首先 创建 一 个 虚拟 机 ， 并 在 创 
建 虚拟 机 时 选择 “不 创建 磁盘 ”， 在 创建 虚拟 机 完成 之 后 再 手动 添加 磁盘 ， 并 在 添加 磁盘 向 导 中 选 
择 使 用 差异 磁盘 。 主 要 步骤 如 下 。 


Q 和 在 “Hyper-V 管理 器 ”中 ， 选 择 “新 建 ~ 虚 拟 机 ”命令 ， 如 图 11-67 所 示 。 
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图 11-67 新 建 虚拟 机 


io3 在 “指定 名 称 和 位 置 ”对 话 框 中 ， 指 定 虚 拟 机 的 名 称 为 “WS08R2-002”， 如 图 11-68 
所 示 。 

03 在 “连接 虚拟 硬盘 ”对 话 框 中 ， 选 中 “以 后 附加 虚拟 硬盘 ” 单 选 按钮 ， 如 图 11-69 所 示 。 

四 创建 完 虚 拟 机 之 后 ， 进 入 虚拟 机 的 设置 页 面 ， 在 “硬件 IDE 控制 器 0” 处 ， 在 右 侧 选 
择 “ 硬 盘 驱 动 器 ”， 然 后 单 击 “ 添 加 ”按钮 ， 如 图 11-70 所 示 。 

io 旬 在 “硬盘 驱动 器 ” 窗 格 中 ， 单 击 “ 新 建 ” 按 钮 ， 如 图 11-71 所 示 。 
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《上 EE 入 E22 D2 


2 Te EA) 取消 
图 11-68 ”指定 虚拟 机 名 称 


11-69 ”以 后 附加 虚拟 硬盘 


Ws 本 以 0 过 旭 从 神志 各 天 六 询 诺 滩 汪 各， 册 可 Cpt 琴 
日 aauas 


La | 
图 11-70 添加 磁盘 图 11-71 新 建 磁盘 
0@j 在 “选择 磁盘 类 型 ”对 话 框 中 ， 选 中 “差异 ” 单 选 按钮 ， 如 图 11-72 所 示 。 
0 在 “指定 名 称 和 位 置 ”对 话 框 中 ， 为 新 建 的 虚拟 硬盘 指定 文件 名 及 保存 位 置 ， 如 图 11-73 
所 示 
a > 拘 定 名 郊 和 位 于 
玫 全 前 信 要 全 腿 印 补 兴 于 5 扬 梭 荫 和 > 克之 前 型 W 认 各 文件 的 名 站 to 于， 
| i 二 
CR) 


De = 


rn | 二 二 
图 11-72 差异 磁盘 


图 11-73 ”指定 虚拟 硬盘 名 称 和 保存 位 置 
tO8j 在 “配置 磁 栖 ”对 话 框 中 ， 为 新 的 差异 虚拟 硬盘 指定 用 作 父 硬盘 的 虚拟 硬盘 ， 在 此 选择 
模板 虚拟 机 的 虚拟 硬盘 ， 在 本 例 中 保存 为 E:\Hyper-v-VHDs\ws08r2-temp.vhd， 如 图 11-74 所 示 
to9 在 “正在 完成 新 建 虚 拟 硬盘 向 导 ” 对 话 框 中 ， 单 击 “ 


完成 ”按钮 ， 如 图 11-75 所 示 。 
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图 11-74 选择 父 硬盘 
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图 11-75 完成 虚拟 硬盘 向 导 
蜡 g 返回 到 虚拟 机 设置 对 话 框 ， 可 以 看 到 ， 已 经 创建 了 虚拟 硬盘 ， 如 图 11-76 所 示 。 单 击 “ 确 
定 ” 按 钮 返回 到 Hyper-V 管理 器 。 


11-76 配置 完成 
11.8.5 ”启动 使 用 差异 磁盘 虚拟 机 
返回 


到 Hyper-V 管理 器 之 后 ， 启 动 使 用 差异 磁盘 的 虚拟 机 ， 由 于 模板 虚拟 机 〈 父 硬盘 ) 在 关 
机 之 前 运行 了 sysprep 程序 ， 所 以 ，sysprep 程序 会 在 第 1 次 启动 虚拟 机 时 ， 对 系统 进行 重新 配置 并 
生成 新 的 SID， 主 要 步骤 如 下 。 


0 和 首先 会 出 现 “ 安 装 程序 正在 为 首次 使 用 计算 机 做 准备 ”的 提示 ， 如 图 11-77 所 示 。 
I02) 在 “设置 Windows” 对 话 框 中 ， 选 择 


所 示 。 


家 或 地 区 、 时 间 和 货币 、 键 盘 布局 ， 如 图 11-78 
03) 在 “输入 您 的 Windows 产品 密 铀 ”对 话 框 中 ， 输 入 新 的 Windows 产品 密 铀 ， 如 果 没有 ， 
可 以 单 击 “ 跳 过 ”按钮 ， 如 图 11-79 所 示 。 
W944 在 第 1 次 进入 系统 之 后 ， 必 须 修 改 密码 ， 如 图 11-80 所 示 。 
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图 11-79” 跳 过 产品 密 钥 


11-80 ”修改 密码 


tog 进入 系统 ， 进 行 必要 的 设置 后 ， 关 闭 虚拟 机 ， 如 图 11-81 所 示 。 
0Q8j 关闭 虚拟 机 之 后 ， 打 开 保存 新 虚拟 机 的 虚拟 磁盘 文件 夹 ， 可 以 看 到 ， 新 虚拟 硬盘 只 占用 
了 365MB， 如 图 11-82 所 示 。 这 是 在 父 磁盘 的 基础 上 ， 重 新 配置 系统 改动 部 分 的 大 小 。 
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图 11-81 关闭 虚拟 机 


图 11-82 差异 磁盘 占用 空间 大 小 
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0 打开 虚拟 机 设置 ， 在 “硬盘 驱动 器 ” 窗 格 中 单 击 “ 检 查 ”按钮 ， 可 以 看 到 该 虚拟 机 使 用 
的 是 差异 虚拟 磁盘 ， 以 及 虚拟 硬盘 的 父 磁盘 属性 及 大 小 ， 如 图 11-83 所 示 。 


11-83 ”差异 磁盘 


第 12 章 使 用 SCVMM 2008 R2 
管理 Hyper-V 


在 本 章 ， 我 们 介绍 Microsoft 专用 虚拟 机 管理 工具 SCVMM 2008 R2 管理 Hyper-V 的 内 容 。 
SCVMM 是 System Center Virtual Machine Management 的 简称 ， 目 前 最 新 版 本 是 2008 R2， 修 订 补 
本 是 SP1。 

接 下 来 ， 我 们 将 分 以 下 几 个 内 容 进行 介绍 : 


实验 环境 介绍 。 

SCVMM 2008 安装 部 署 。 

VMM 管理 员 安 装 与 配置 。 

添加 共享 库 服务 器 与 库 共享 资源 。 

创建 虚拟 机 、 在 虚拟 机 中 安装 操作 系统 。 
虚拟 机 的 模板 的 创建 与 使 用 。 
虚拟 机 的 迁移 。 


12.1 VMM 实验 环境 介绍 


在 本 章 的 操作 中 ,我 们 将 在 前 面 实验 环境 的 基础 上 ,在 Windows Server 2008 R2 With Hyper-V 
的 主机 中 ， 创 建 一 个 名 为 sevmm 2008 R2 的 虚拟 机 ， 在 此 虚拟 机 中 安装 Windows Server 2008 R2、 
加 入 到 域 , 安装 SCVMM 2008 R2, 并 管理 Hyper-V Server 与 Windows Server 2008 R2 With Hyper-V 
这 两 个 物理 主机 ， 实 验 拓扑 如 图 12-1 所 示 。 在 本 章 的 实验 中 ， 会 用 到 dc.heinfo.local 与 
datacenter.heinfo.local 两 台 服 务 器 中 的 、 保 存 各 种 安装 镜像 的 共享 文件 夹 。 


SCY 2008 R2 
172. 30. 5. 21 


WSS2008R2 de.heinfo. local 。 datacenter heinfo. local 。 
172.30.5.5 172.30.5.15 1 16 


yper-v-2008r2 
172. 30.5.17718 


WS08R2-HyperY 
172. 30.5.31 


图 12-1 实验 环境 
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使 用 SCVMM 2008 R2 管理 Hyper-V 的 网 络 拓扑 如 图 12-2 所 示 。 


还 
虚拟 机 


虚拟 机 
VM 服务 器 
VM 自助 服务 门户 j 
NS (必须 加 入 到 域 》 [局 虚拟 机 
TE 浏览 器 Windows Server 2008 ~ 
使 用 Web 方 式 自助 管理 With Hyper-Y 
《网 络 中 任意 一 台 使 用 IE 的 计算 机 ) 
虚拟 机 


12-2 SCVMM 体系 结构 


在 图 12-2 中 ，VMM 服务 器 是 安装 System Center Virtual Machine Management 2008 R2 服务 器 
一 台 计 算 机 ， 该 计算 机 必须 加 入 到 域 ， 并 且 使 用 域 管理 员 账 户 登 录 ， 由 这 台 服 务 器 管理 Hyper-V 
Server 或 安装 有 Hyper-V 功能 的 Windows Server 2008( 以 下 简称 “Hyper-V Server 主机 ”) 。VMM 
服务 器 是 “客户 /服务 器 ”系统 或 “Browser/Server” 系 统 ， 用 户 需 要 使 用 安装 有 “VMM 管理 员 ” 
控制 台 的 计算 机 ,或 者 使 用 正 浏览 器 ， 登 录 安 装 并 启用 “VMM 自助 服务 门户 网 站 ”的 “VMM 服 
务 器 ”才能 管理 Hyper-V Server 主机 。 


12.2 安装 SCVMM 2008 R2 


使 用 上 一 节 安 装 的 Windows Server 2008 R2， 导 出 一 台 虚 拟 机 ， 然 后 将 导出 目录 重 命 名 为 
SCVMM 2008 R2， 然 后 再 将 重 命名 后 的 虚拟 机 导入 ， 导 入 之 后 ， 重 命名 虚拟 机 的 名 称 为 
scvmm2008r2， 并 修改 虚拟 机 的 配置 ， 设置 内 存 为 2GB、2 个 虚拟 处 理 器 ， 然 后 安装 SCVMM 2008 
R2， 下 面 一 一 介绍 。 


12.2.1 准备 SCVMM 2008 R2 虚拟 机 


0 和 在 172.30.5.31 的 物理 主机 中 ， 使 用 “导出 ”、“ 导 入 ”的 方法 ， 将 以 前 安装 好 的 一 台 
Windows Server 2008 R2 复制 出 一 全 虚拟 机 ， 并 命名 为 scvmm2008r2, 设置 虚拟 机 内 存 为 2048MB、 
2 个 虚拟 处 理 器 ,如 图 12-3 所 示 . 同时 在 “管理 一 自动 启动 操作 ”选择 “始终 自动 启动 此 虚拟 机 ”， 
这 样 该 虚拟 机 将 跟随 主机 一 同 启动 。 

0 有 2 然后 启动 该 虚拟 机 ， 启 动 虚拟 机 后 ， 重 新 设置 计算 机 名 称 为 scvmm2008r2 ( 当然 也 可 以 
是 其 他 的 名 称 ,这 要 看 网 络 规划 的 情况 ), 设置 耳 地 址 为 172.30.5.21/24、 设 置 DNS 地 址 为 172.30.5.15 
与 172.30.5.16， 如 图 12-4 所 示 。 
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图 12-3 ”修改 虚拟 机 的 设置 12-4 ”修改 计算 机 名 称 、 设 置 他 地 址 


然后 将 这 台 计 算 机 加 入 到 heinfo.local， 如 图 12-5 所 示 。 根 据 提示 重新 启动 计算 机 。 


四 3) 再 次 进入 系统 之 前 ， 以 域 管理 员 账 户 登 录 ， 格式 为 heinfovadministrator， 同 时 输入 域 管理 
员 账 户 密码 ， 如 图 12-6 所 示 。 


图 12-5 将 计算 机 加 入 到 域 图 12-6 ”以 域 管 理 员 账 户 登录 
12.2.2 安装 VMM 服务 器 


进入 系统 之 后 , 选择 “文件 一 设置 ”命令 (如 图 12-7 所 示 ), 进入 虚拟 机 设置 窗口 ,加载 SCVMM 
2008 R2 With SP1 光盘 镜像 作为 虚拟 机 的 光驱 ， 如 图 12-8 所 示 。 
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Te ss CD me | ew | 
12-7 设置 12-8 选择 SCVMM 安装 光盘 镜像 作为 虚拟 机 光驱 
然后 返回 到 虚拟 机 ， 开 始 安装 VMM 服务 器 ， 主 要 步骤 如 下 。 


4 在 SCVMM 2008 R2 安装 界面 中 ， 单 击 “VMM 服务 器 ”， 如 图 12-9 所 示 。 
tOg 在 “许可 条 款 ” 对 话 框 中 ， 单 击 “ 我 授 受 此 协议 的 条 款 ” 单 选 按钮 ， 如 图 12-10 所 示 。 
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图 12-9 安装 VMM 服务 器 12-10 接受 许可 协议 


io3 在 “ 必 备 项 检查 ”对 话 框 中 ,安装 程序 开始 检查 SCVMM 2008 安装 所 必需 的 硬件 与 软件 
要 求 ， 只 有 检查 通过 之 后 才能 安装 ， 如 图 12-11 所 示 。 

04| 在 “SQL Server 设置 ”对 话 框 中 ， 选 择 “ 安 装 SQL Server 2005 Express Edition SP3”， 
如 图 12-12 所 示 。 如 果 网 络 中 有 SQL Server， 也 可 以 选择 网 络 中 的 SQL Server 作为 SCVMM 2008 
的 数据 库 。 

ti@O 久 在 “安装 设置 ”对 话 框 中 ， 选 择 通信 端口 与 VMM 服务 器 的 服务 账户 ， 通 常情 况 下 保持 
默认 值 即 可 ， 如 图 12-13 所 示 。 

iogj 在 “设置 摘要 ”对 话 框 中 ， 复 查 SCVMM 服务 器 的 设置 ， 检 查 无 误 之 后 ， 单 击 “ 安 装 ” 
按钮 开始 安装 ， 如 图 12-14 所 示 。 如 果 有 任何 问题 ， 单 击 “ 上 一 步 ” 按 钮 依次 返回 并 修改 。 
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图 12-11 必 备 项 检查 
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图 12-13 ”安装 设置 12-14 ”设置 摘要 


iD 有 SCVMM 2008 R2 安装 程序 开始 安装 ， 大 约 9min 左右 ， 安 装 完成 ， 单 击 “ 关 闭 ” 按 钮 ， 
如 图 12-15 所 示 。 


sm 为 | 可 写本 | 加 j= 


12-15 ”安装 完成 
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如 果 只 是 单独 做 实验 ， 可 以 将 “VMM 管理 员 ” 程 序 也 安装 在 “VMM 服务 器 ”这 台 计 算 机 上 。 


但 是 , 我 们 还 是 推荐 , 模拟 真实 的 场景 ， 在 网 络 中 的 其 他 工作 站 上 安装 VMM 管理 员 程 序 ， 然 后 再 


用 


VMM 管理 员 程 序 连接 到 VMM 服务 器 并 管理 Hyper-V 计算 机 。 接 下 来 ， 我 们 介绍 在 网 络 中 的 


其 他 工作 站 上 安装 VMM 管理 员 程序 的 方法 与 配置 步 又 。 


12.3 ”VMM 管理 员 安 装 与 配置 


“VMM 管理 员 ” 与 “VMM 服务 器 ”之 间 的 关系 ， 有 点 像 VMware 的 vSphere Client 与 


VirtualCenter (新 版 本 名 为 vCenter Server) 之 间 的 关系 , 但 又 有 所 区 别 。vSphere Client 可 以 登录 并 
连接 到 VirtualCenter (或 vCenter Server) 以 管理 VMware ESX Server (或 VMware ESXi) ， 也 可 
以 直接 管理 VMware ESX Server (或 VMware ESXi) ; 而 “VMM 管理 员 ” 目 前 的 版 本 只 能 通过 登 
录 到 “VMM 服务 器 ”， 并 管理 “VMM 服务 器 ”以 及 通过 “VMM 服务 器 ”管理 Hyper-V Server 
主机 ， 还 可 以 通过 “VMM 服务 器 ”连接 到 VMware VirtualCenter 以 管理 VMware ESX Server (或 
VMware ESXi) 。 


12.3.1 在 管理 工作 站 上 安装 VMM 管理 员 


把 网 络 中 的 一 台 Windows 7 计算 机 加 入 到 heinfo.local， 运 行 VMM 管理 员 程 序 ， 用 这 人 台 计 算 


机 管理 VMM 服务 器 ,并 通过 VMM 服务 器 管理 Hyper-V Server 2008 虚拟 化 主机 。 首 先 介绍 VMM 
管理 员 的 安装 过 程 ， 步 又 如 下 。 


0 和 把 网 络 中 的 一 台 计 算 机 加 入 到 heinfo.local， 如 图 12-16 所 示 。 
03 加 入 到 域 之 后 ， 并 以 域 管 理 员 身 份 登录 ， 然 后 运行 SCVMM 2008 R2 安装 程序 ， 在 “ 安 


装 程序 ”中 单 击 “VMM 管理 员 控 制 台 ， 启 动 控制 台 安 装 ， 如 图 12-17 所 示 。 
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图 12-16 加 入 到 域 图 12-17 VMM 管理 员 控制 台 


toQ3 在 “许可 条 款 ” 对 话 框 中 ， 授 受 许可 协议 ， 如 图 12-18 所 示 。 
四 4 在 “ 必 备 项 检查 ”对 话 框 中 ， 检 查 通过 之 后 才能 继续 安装 ， 如 图 12-19 所 示 。 
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图 12-18 许可 条 款 图 12-19 必 备 项 安装 
tog 在 “安装 位 置 ” 对 话 框 中 ， 选 择 VMM 管理 员 程序 文件 存储 位 置 ， 如 图 12-20 所 示 。 
I06| 在 “端口 分 配 ” 对 话 框 中 ， 选 择 VMM 管理 员 控制 台 与 VMM 服务 器 通信 的 端口 ， 默 认 
是 8100， 如 图 12-21 所 示 。 


图 12-20 选择 程序 存储 位 置 图 12-21 端口 分 配 


QZ 在 “设置 摘要 ”对 话 框 中 ,检查 VMM 管理 员 控制 台 设 置 ， 无 误 之 后 单 击 “安装 ” 按 钮 ， 
开始 安装 ， 如 图 12-22 所 示 。 
to8j 在 安装 完成 之 后 ， 单 击 “ 关 闭 ” 按 钮 ， 如 图 12-23 所 示 。 
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图 12-22 设置 摘要 12-23 ”安装 完成 
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io9j 在 有 的 时 候 ， 会 提示 安装 失败 ， 如 图 12-24 所 示 。 
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图 12-24 ”提示 安装 失败 


但 检查 日 志 ， 发 现 安装 成 功 ， 如 图 12-25 所 示 。 这 种 情况 下 ， 并 不 影响 VMM 管理 员 的 
使 用 。 
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图 12-25 “安装 完成 但 配置 失败 
12.3.2 ”使 用 VMM 管理 员 控 制 台 添加 虚拟 化 主机 


在 安装 好 VMM 管理 员 控 制 台 之 后 , 登录 VMM 服务 器 并 添加 虚拟 化 主机 ,首先 创建 一 个 主机 
步骤 如 下 。 


0 和 在 “连接 到 服务 器 ”对 话 框 中 ， 输 入 VMM 服务 器 的 他 地 址 或 计算 机 名 称 。 在 本 例 中 是 
vmm.heinfo.local， 端 口 是 8100， 并 选中 “将 此 服务 器 设置 为 我 的 默认 服务 器 ” 复 选 框 ， 如 图 12-26 


407 
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所 示 。 


需要 在 域 控制 器 中 , 添加 名 为 VMM 的 A 记录 , 该 记录 指向 “VMM 


服务 器 ”的 他 地址 ， 本 例 中 是 172.30.5.21。 如 果 没 有 创建 该 A 记录 , 可 


以 输入 VMM 服务 器 的 IP 地 址 或 DNS 名 称 。 


图 12.26 连接 到 服务 器 
9 有 2 连接 到 服务 器 之 后 ， 登 录 到 VMM 服务 器 ， 右 击 “ 所 有 主机 ”， 选 择 “ 新 建 主机 组 ”， 
如 图 12-27 所 示 。 


图 12-27 新建 主 机 组 
to3 在 本 例 中 ， 设 置 主机 组 名 为 “Hyper-V” 。 


在 添加 “主机 组 ”后 ， 就 可 以 向 主机 组 中 添加 虚拟 化 主机 了 ， 可 以 添加 启用 了 HyperV 功能 
的 Windows Server 2008、Windows Server 2008 R2, 或 者 Hyper-V Server 2008、Hyper-V Server 2008 
R2， 或 者 Microsoft Virtual Server 2005。 在 本 例 中 ， 我 们 将 添加 本 次 实验 的 2 台 主机 ， 并 且 这 2 台 
主机 都 已 经 加 入 到 了 Active Directory， 步 骤 如 下 。 


QW 在 VMM 管理 员 控制 台 左 侧 任务 窗 格 中 选中 主机 组 ， 在 右 侧 任务 窗 格 中 单 击 “添加 主 
机 ”和 链接， 如 图 12-28 所 示 ， 进 入 添加 主机 向 导 。 
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io3 在 “选择 主机 位 置 ”对 话 框 中 ， 在 “选择 主机 位 置 ， 然 后 输入 必需 的 凭据 ”处 ， 选 择 要 
添加 的 主机 的 位 置 .在 本 例 中 , 所 有 的 (虚拟 化 ) 主机 都 已 经 添加 到 Active Directory, 所 以 选中 “位 
于 Active Directory 域 中 的 基于 Windows Server 的 主机 ” 单 选 按钮 ， 在 “输入 凭据 连接 到 主机 ”处 ， 
输入 域 管理 员 账 户 与 密码 ， 并 且 输 入 域名 , 同时 选中 “主机 处 于 受信 任 的 域 中 ” 复 选 框 , 如 图 12-29 
所 示 。 

lo3j 在 “选择 主机 服务 器 ”对 话 框 中 , 单 击 “ 搜 索 ”按钮 , 用 来 搜索 网 络 中 的 主机 ,如 图 12-30 


12-29 选择 主机 位 置 与 管理 员 和 凭据 12-30 ”搜索 


to 约 在 “计算 机 搜索 ”对 话 框 中 ， 在 “搜索 条 件 ”处 选中 “Hyper-V” 复 选 框 ， 然 后 单 击 “ 搜 
索 ” 按 钮 ， 这 样 会 把 当前 Active Directory 域 中 所 有 具有 Hyper-V 功能 的 主机 搜索 并 显示 出 来 ， 而 
不 显示 其 他 的 主机 。 在 本 例 中 ， 会 搜索 出 2 台 Hyper-V 主机 ， 一 台 是 Windows Server 2008 R2， 并 
启用 了 Hyper-V 功能 ， 另 一 台 则 是 Hyper-V Server 主机 ， 选 中 之 后 ， 单 击 “ 添 加 ”按钮 ， 然 后 单 击 
“确定 ”按钮 ， 如 图 12-31 所 示 。 

05) 如 果 不 对 搜索 过 程 进行 过 滤 , 则 会 搜索 出 当前 Active Directory 中 所 有 的 主机 , 如 图 12-32 
所 示 。 在 这 种 情况 下 ， 可 以 单 击 “ 虚 拟 化 软件 ”进行 排序 ， 同 样 可 以 选中 所 需要 的 主机 。 
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图 12-31 搜索 主机 并 进行 过 滤 图 12-32 搜索 出 所 有 主机 
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to8j 选中 主机 之 后 ， 返 回 到 “选择 主机 服务 器 ”对 话 框 ， 在 此 会 列 出 上 一 步 所 选择 并 添加 的 
虚拟 化 主机 ， 如 图 12-33 所 示 。 

QZ 接 下 来 会 出 现 一 个 警告 对 话 框 ， 提 示 当 前 添加 的 一 台 或 多 人 台 主 机 运行 的 是 Windows 
Server 2008 操作 系统 或 者 更 高 版 本 ， 如 果 这 些 版 本 没有 安装 Hyper-V 功能 ，VMM 在 执行 添加 主机 


的 过 程 期 间 ， 会 自动 启用 这 些 角色 并 会 导致 服务 器 重新 启动 。 单 击 “是 ”按钮 继续 ， 如 图 12-34 
所 示 。 
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图 12-33 选择 主机 服务 器 图 12-34 警告 信息 
lQ8j 在 “配置 设置 ”对 话 框 中， 选择 将 所 选 的 主机 要 添加 到 的 主机 组 ， 如 图 12-35 所 示 。 在 
此 ， 选 择 前 面 创建 的 名 为 “Hyper-V” 的 主机 组 。 
to9 在 “主机 属性 ”对 话 框 中 ， 选 择 添加 虚拟 机 路 径 或 使 用 默认 路 径 ， 由 于 添加 了 多 个 主机 ， 
将 在 以 后 单独 进行 配置 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 12-36 所 示 。 


Sn Fm [BR 


12-35 配置 设置 12-36 ”主机 属性 


加 0| 在 “摘要 ”对 话 框 中 ， 显 示 当 前 的 操作 ， 检 查 无 误 之 后 ， 单 击 “ 添 加 主机 ”按钮 ， 如 
图 12-37 所 示 。 如 果 有 任何 问题 ， 单 击 “ 上 一 步 ”按钮 返回 进行 检查 。 
因 然后 弹出 “作业 ”对 话 框 ， 开 始 添加 虚拟 主机 ， 如 图 12-38 所 示 ， 直 到 添加 主机 完成 。 
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12-37 摘要 


因 添加 主机 完成 之 后 ， 返 回 到 VMM 管理 员 控 制 全， 在 “所 有 主机 ”列表 中 
的 虚拟 化 主机 的 名 称 、 状 态 、 作 业 状 态 、CPU、 内 存 等 消息 ， 如 图 12-39 所 示 。 


12.3.3 


12-38 作业 


， 显 示 了 添加 


[ee 


添加 操作 系统 镜像 文件 的 ) 共享 资源 库 


在 使 用 Hyper-V 管理 器 管理 Hyper-V Server 时 ， 要 创建 虚拟 机 并 在 虚拟 机 中 安装 操作 系统 ， 

可 以 直接 使 用 Hyper-V 主机 上 的 镜像 文件 。 而 在 使 用 VMM 服务 器 ， 创 建 虚拟 机 并 在 虚拟 机 中 安 
装 操 作 系 统 时 ， 并 不 能 以 “本 地 ”文件 的 方式 使 用 保存 在 Hyper-V 主机 中 的 镜像 文件 ， 而 是 以 “ 共 
享 文件 夹 ”的 方式 访问 , 并 且 需 要 将 “共享 文件 夹 ”添加 到 VMM 服务 器 的 “ 库 ”中 进行 统一 管理 。 


在 本 次 的 实验 中 ， 网 络 中 的 2 台 域 控制 器 中 保存 了 所 有 的 Microsoft 的 操作 系统 的 光盘 镜像 ， 


并 且 在 Windows Server 2008 HyperV 主机 中 ， 也 有 一 部 分 操作 系统 镜像 文件 。 在 下 面 的 操作 中 ， 
我 们 把 这 3 台 服 务 器 中 的 镜像 文件 所 在 的 “共享 文件 夹 ” 添加 到 VMM 库 服务 器 中 进行 统一 管理 。 


图 12-41 所 示 。 


t@ 在 VMM 管理 员 控制 全 中 ， 单 击 右 侧 的 “添加 库 服 务 器 ”链接 ， 如 图 12-40 所 示 。 
02 在 “输入 凭据 ”对 话 框 中 ， 输 入 域 管理 员 账 户 (或 者 具有 域 管理 员 功 能 的 账户 ) ， 如 
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图 12-40 ”添加 库 服务 器 图 12-41 输入 凭据 


to3j 在 “选择 库 服务 器 ”对 话 框 中 ， 单 击 “ 搜 索 ” 按 钮 ， 如 图 12-42 所 示 。 

04 在 “计算 机 搜索 ”对 话 框 中 ， 单 击 “搜索 ”按钮 (不 要 选中 Hyper-V) ， 并 在 “搜索 结 
果 ” 列 表 中 ， 选 择 2 台 域 控制 器 主机 以 及 安装 有 Hyper-V 功能 的 Windows Server 2008 R2， 然 后 将 
其 添加 到 “所 选 计算 机 ”列表 中 ， 这 3 台 计 算 机 中 保存 了 Windows 操作 系统 的 安装 光盘 镜像 ， 如 
图 12-43 所 示 。 
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图 12-42 搜索 图 12-43 添加 计算 机 到 列表 


05) 返回 到 “选择 库 服务 器 ”对 话 框 中 ， 在 “所 选 服务 器 ”列表 中 已 经 添加 了 3 台 主 机 ， 如 
图 12-44 所 示 。 

tO6j 在 “添加 库 共 享 ”对 话 框 中 ， 分 别 选中 保存 有 操作 系统 安装 光盘 镜像 文件 的 共享 文件 来， 
在 2 台 域 控制 器 (计算 机 名 称 分 别 为 “datacenter.heinfo.local” 与 “dc.heinfo.local”) 中 ， 共 享 文 
件 夹 名 称 都 是 “msdn-iso”( 这 两 个 文件 夹杂 用 DFS 进行 同步 ) ， 在 启用 Hyper-V 功能 的 Windows 
Server 2008 主机 中 ,共享 文件 夹 是 Tools, 分 别 选 中 各 自 的 共享 文件 夹 (其 他 的 文件 夹 先 不 要 添加 ， 
以 后 根据 需要 再 进行 添加 ) ， 如 图 12-45 所 示 。 
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图 12-44 选择 库 服务 器 图 12-45 ”添加 库 共享 
0 在 “摘要 ”对 话 框 中 ， 显 示 了 添加 的 库 服 务 器 以 及 添加 到 库 服 务 器 的 共享 文件 夹 ， 无 误 


之 后 单 击 “ 添 加 库 服务 器 ”按钮 ， 如 图 12-46 所 示 。 
8) 然后 弹出 “作业 ”窗口 ， 显 示 添 加 的 过 程 ， 如 图 12-47 所 示 。 作 业 完 成 之 后 ， 关 闭 这 
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图 12-46 摘要 图 12-47 添加 库 服 务 器 作业 


在 添加 了 具有 操作 系统 镜像 的 库 共享 之 后 ， 就 可 以 创建 虚拟 机 并 在 虚拟 机 中 安装 操作 系统 了 。 
12.3.4 创建 虚拟 机 


在 本 节 的 操作 中 ， 我 们 将 使 用 VMM 管理 员 控制 台 ， 在 Hyper-V Server 2008 R2 主机 中 ， 创 建 
一 个 Windows Server 2003 虚拟 机 ， 然 后 在 虚拟 机 中 安装 Windows Server 2003 操作 系统 ， 最 后 安装 
HyperV 集成 服务 。 操 作 步 骤 如 下 。 


0 使 用 VMM 管理 员 登 录 到 VMM 服务 器 ， 在 左 侧 的 任务 窗 格 中 选择 “虚拟 机 ”， 然 后 在 
右 侧 的 “操作 ” 窗 格 中 选择 “新 建 虚拟 机 ”链接 ， 如 图 12-48 所 示 。 

tO3 在 “选择 源 ” 对 话 框 中 ， 在 “选择 新 虚拟 机 的 源 ” 处 ， 选 中 “使 用 空白 虚拟 硬盘 创建 新 
的 虚拟 机 ” 单 选 按钮 ， 如 图 12-49 所 示 。 
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图 12-48 新建 虚拟 机 图 12-49 选择 源 


to3j 在 “虚拟 机 标识 ”对 话 框 中 ， 在 “虚拟 机 名 称 ” 文 本 框 中 ， 输 入 欲 创建 的 虚拟 机 的 名 称 ， 
在 本 例 中 为 WS03R2 ( 也 可 以 是 其 他 名 称 ， 只 要 易于 分 辨 , 让 管理 员 理解 虚拟 机 的 名 称 及 其 代表 的 
意义 即 可 ) ， 如 图 12-50 所 示 。 

tO 约 在 “配置 硬件 ”对 话 框 中 ,选择 新 建 虚拟 机 的 配置 , 主要 是 设置 CPU 数量 、 虚 拟 机 内 存 、 
虚拟 硬盘 大 小 ， 以 及 选择 操作 系统 镜像 (用 来 安装 操作 系统 ) 。 在 Hyper-V 虚拟 机 中 ， 有 个 比较 
有 意思 的 选择 ， 如 图 12-51 所 示 ， 在 “CPU 类 型 ”中 ,包括 了 AMD 与 Intel 两 种 厂商 的 服务 器 的 
CPU 型 号 , 这 会 让 初学 者 理解 为 ,Hyper-V 的 虚拟 机 可 以 “模拟 ”这 两 种 型 号 的 CPU 并 能 指定 CPU 
的 频率 。 实 际 上 ， 无 论 你 在 此 选择 哪 种 类 型 ， 虚 拟 机 的 CPU 都 是 与 物理 主机 一 致 的 ( 可 能 CPU 数 
量 不 同 ) 。 
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12-50 设置 虚拟 机 名 称 12-51 处理 器 选择 


05) 在 “内 存 ” 处 为 虚拟 机 分 配 内 存 ,在 Hyper-V Server 2008 R2 中 ,已 经 支持 “动态 ”内 存 ， 
可 以 根据 需要 选择 ， 是 为 虚拟 机 分 配 “ 静 态 ”内 存 ( 内 存 大 小 固定 ) ， 还 是 分 配 “动态” 内 存 ( 设 
置 内 存 的 初始 大 小 以 及 最 大 内 存 ) ， 如 图 12-52 所 示 。 

[06| 在 “视频 适配器 ”对 话 框 中 , 选择 “标准 视频 适配器 ”。 如 果 要 体验 “Microsoft RemoteFX 
3D 视频 适配器 ”， 则 需要 创建 Windows 7 虚拟 机 ， 并 且 在 Windows Server 2008 R2 With SP1 的 
Hyper-V 主机 中 才能 使 用 。 
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0 在 “IDE 设备 ”处 设置 虚拟 硬盘 的 类 型 及 大 小 ， 如 图 12-53 所 示 。 这 与 在 Hyper-V 中 
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图 12-52 内 存 图 12-53 ”虚拟 硬盘 大 小 


to8j 在 “虚拟 DVD 驱动 器 ”处 ， 选 中 “ 现 有 映像 文件 ” 单 选 按钮 ， 然 后 单 击 “ 浏 览 ”按钮 
(如 图 12-54 所 示 ) 。 在 弹出 的 “选择 ISO” 对 话 框 中 ， 选 择 要 映射 的 镜像 文件 ， 如 果 你 的 共享 库 
中 镜像 文件 太 多 ， 可 以 输入 关键 字 进行 过 滤 。 例 如， 要 选择 Windows Server 2003 的 镜像 文件 ， 可 
以 输入 Windows 2003， 然 后 列表 中 会 显示 所 有 Windows 2003 的 光盘 镜像 ， 如 图 12-55 所 示 。 如 果 
是 安装 Windows Server 2003 R2， 则 需要 选择 第 一 张 光盘 镜像 文件 。 
TI 一 | 
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图 12-55 过 滤 并 选择 镜像 文件 


选择 之 后 ， 返 回 到 “配置 硬件 ”对 话 框 中 ， 如 图 12-56 所 示 ， 已 经 以 “共享 文件 夹 ”的 方式 选 
中 了 镜像 文件 。 


09 在 “选择 目标 ”对 话 框 中 ， 选 中 “将 虚拟 机 放置 到 主机 上 ?” 单 选 按钮 ， 如 图 12-57 所 示 。 

因 0 在 “选择 主机 ”对 话 框 中 ,为 虚拟 机 选择 主机 ， 在 此 选择 “hyper-v-2008r2.heinfo local”， 
如 图 12-58 所 示 。 

国 则 在 “选择 目标 文件 夹 ” 对 话 框 中 ， 选 择 保存 虚拟 机 的 路 径 ， 默 认 情 况 下 是 安装 Hyper-V 
时 选择 的 路 径 (默认 为 c:\programdatamicrosoft\windows\hyper-v ) ， 通 常情 况 下 ， 要 选择 非 系统 分 
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区 ， 单 击 “浏览 ”按钮 ， 选 择 前 面 规 划 的 保存 虚拟 机 的 文件 夹 ， 在 本 例 中 是 D 盘 的 Hyper-V 文件 
夹 ， 如 图 12-59 所 示 。 
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图 12-58 选择 主机 12-59 浏览 选择 保存 虚拟 机 的 文件 夹 
选择 之 后 返回 到 “选择 路 径 ” 对 话 框 中 ， 并 且 选 中 “将 此 路 径 添加 到 主机 上 的 默认 虚拟 机 路 
径 列 表 ” 复 选 框 ， 以 后 创建 虚拟 机 时 ,默认 将 保存 在 这 个 文件 夹 ， 如 图 12-60 所 示 。 如 果 想 要 更 改 ， 
可 以 单 击 “浏览 ” 按 钮 重新 进行 选择 。 


12-60 选择 路 径 并 设置 为 默认 值 
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加 在 “选择 网 络 ”对 话 框 中 ， 为 虚拟 机 选择 虚拟 网 络 ， 如 图 12-61 所 示 。 
思 3 在 “其 他 属性 ”对 话 框 中 ， 选 择 虚拟 机 要 安装 的 操作 系统 、 自 动 启动 操作 、 信 息 物 理 服 
务 器 时 的 操作 ， 在 此 选择 “Windows Server 2003 32 位 ”， 其 他 根据 需要 选择 ， 如 图 12-62 所 示 。 
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12-61 选择 网 络 图 12-62 其 他 属性 


加 弛 在 “摘要 ”对 话 框 中 ， 复 查 虚 拟 机 的 设置 ， 无 误 之 后 ， 单 击 “ 创 建 ” 按 钮 开始 创建 虚拟 
机 , 如 果 想 在 创建 虚拟 机 之 后 启动 新 创建 的 虚拟 机 , 则 选中 “在 主机 上 部 署 虚 拟 机 之 后 启动 虚拟 机 ” 
复 选 框 ， 如 图 12-63 所 示 。 

思 5 在 创建 虚拟 机 的 “作业 ”对 话 框 中 ， 如 果 创建 的 是 Windows Server 2003， 则 会 出 现 警告 
信息 ， 这 些 并 不 影响 使 用 ， 如 图 12-64 所 示 。 如 果 创 建 的 是 Windows Vista 及 其 以 后 的 虚拟 机 ， 则 
不 会 出 现 这 些 警告 信息 。 在 创建 完 虚 拟 机 后 ， 关 闭 这 个 对 话 框 。 


= El 
图 12-63 摘要 图 12-64 创建 虚拟 机 作业 


12.3.5 ”在 虚拟 机 中 安装 操作 系统 


创建 完 虚拟 机 并 自动 启动 之 后 ， 接 下 来 连接 到 虚拟 机 ， 开 始 操作 系统 的 安装 ， 并 且 在 安装 完成 
之 后 ， 对 虚拟 机 进行 初始 配置 。 主 要 步骤 如 下 。 


和 在 VMM 管理 员 控制 台中 ， 选 中 新 创建 的 虚拟 机 ， 在 右 侧 “操作 ” 窗 格 中 单 击 “ 连 接 到 
虚拟 机 ”链接 ， 如 图 12-65 所 示 。 


.417 。 
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12-65 ”连接 到 虚拟 机 


由 2 连接 到 虚拟 机 之 后 ， 在 “虚拟 机 查看 器 ”的 窗口 中 ， 用 鼠标 单 击 ， 进 入 虚拟 机 控制 窗口 ， 
安装 操作 系统 。 在 创建 Windows Server 2003 虚拟 机 的 时 候 ， 默 认 的 虚拟 硬盘 是 40GB， 如 果 创 建 
的 虚拟 机 用 于 实际 的 需要 ， 可 将 这 40GB 的 空间 划分 为 一 个 分 区 ， 所 以 ， 直 接 在 磁盘 选择 页 按 回 车 


键 即 可 ， 如 图 12-66 所 示 。 
I03) 使 用 NTFS 文件 系统 格式 化 ， 如 图 12-67 所 示 。 


图 12-66 选择 分 区 图 12-67 使 用 NTEFS 文件 系统 格式 化 

04 在 “ 自 定义 软件 ”对 话 框 中 ， 输 入 用 户 信息 ， 如 图 12-68 所 示 。 

tog 在 “授权 模式 ”对 话 框 中 ， 选 中 “每 服务 器 ” 单 选 按钮 ， 并 设置 并 发 连接 数 ， 请 根据 情 
况 设置 ， 如 图 12-69 所 示 。 

06j 在 安装 完成 之 后 ， 进 入 Windows Server 2003 界面 。 如 果 安 装 的 是 Windows Server 2003 
R2， 则 安装 程序 会 提示 插入 第 2 张 安装 光盘 ， 如 图 12-70 所 示 。 

则 妈 如 果 要 更 换 安 装 光盘 ， 须 返回 到 VMM 管理 员 控制 台 ， 用 鼠标 右 击 虚 拟 机 ， 在 弹出 的 快 
捷 菜单 中 选择 “属性 ”命令 ， 如 图 12-71 所 示 。 
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四 8) 在 “虚拟 机 属性 ”对 话 框 中 ， 在 “硬件 配置 ”选项 卡 中 ， 在 “虚拟 DVD 驱动 器 ”选项 
中 ， 单 击 “浏览 ”按钮 ， 如 图 12-72 所 示 。 

io09j 在 弹出 的 “选择 ISO” 对 话 框 中 ， 选 择 Windows Server 2003 R2 的 第 2 张 光 盘 镜 像 ， 如 
图 12-73 所 示 。 
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图 12-72 虚拟 DVD 驱动 器 12-73 选择 ISO 


蜡 g 选择 之 后 , 单 击 两 次 “确定 "按钮 返回 , 然后 返回 到 “虚拟 机 查看 器 ”, 继续 Windows Server 
2003 R2 的 安装 ， 如 图 12-74 所 示 。 

加 二 安装 完成 后 (如 图 12-75 所 示 ) ， 以 正常 的 方式 关闭 虚拟 机 操作 系统 ( 单 击 “开始 ” 菜 
单 选 择 “ 关 闭 系统 ) 。 


图 12-74 ”继续 Windows Server 2003 R2 的 安装 12-75 ”安装 完成 


亨 到 当 虚 拟 机 停止 后 ， 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “安装 虚拟 来 宾 服务 ”， 如 
图 12-76 所 示 。 这 与 HyperV 不 同 ，Hyper-V 虚拟 机 需要 在 启动 的 时 候 安 装 “ 集 成 服务 ”， 而 VMM 
管理 的 虚拟 机 ， 则 需要 在 “关机 ”之 后 安装 。 

亨 在 安装 的 过 程 中 ， 在 VMM 管理 员 控制 台 会 有 进度 提示 ， 如 图 12-77 所 示 。 

天 出 安装 完成 之 后 ， 可 以 启动 虚拟 机 ， 进 行 后 续 的 工作 ， 如 图 12-78 所 示 。 
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图 12-78 启动 虚拟 机 
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12.4 在 SCVMM 中 使 用 模板 部 署 虚拟 机 


在 前 面 的 文章 中 ， 我 们 介绍 了 在 VMM 中 创建 虚拟 机 ， 在 虚拟 机 中 安装 操作 系统 等 内 容 ， 
以 发 现 ， 这 和 在 Hyper-V 上 创建 虚拟 机 ， 然 后 在 虚拟 机 中 安装 操作 系统 区 别 不 大 。 如 果 需 要 “ 
量 ” 部 署 虚拟 机 ， 怎 么 才能 体现 出 VMM 的 优势 呢 ? 这 就 需要 用 到 SCVMM 的 “模板 ”功能 。 
本 节 中 ， 将 介绍 怎样 从 一 个 “基础 ”虚拟 机 转换 成 模板 ， 并 以 此 模板 为 基础 ， 使 用 简单 的 方法 与 
又 部 署 虚拟 机 。 


12.4.1 添加 保存 模板 的 库 共享 文件 夹 


在 VMM 中 ,需要 将 模板 保存 在 “ 库 ” 共 享 中 。 可 以 在 Hyper-V 主机 中 创建 一 个 让 Administrator 
组 具有 “完全 控制 ”权限 的 共享 文件 夹 ， 并 将 此 共享 文件 夹 添加 到 库 中 ， 供 模板 虚拟 机 使 用 。 

在 本 节 的 内 容 中 ， 将 在 2 台 Hyper-V 主机 中 分 别 创建 共享 文件 来， 然后 将 这 2 个 共享 文件 夹 
添加 到 库 共享 中 。 创 建 共享 文件 夹 的 步骤 如 下 。 


to 出 在 172.30.5.31 的 主机 中 ， 或 者 使 用 “远程 桌面 ”登录 到 172.30.5.31， 在 也 盘 创 建 
MSVM-TEMP 文件 夹 ， 并 将 此 文件 夹 设置 为 共享 文件 夹 ， 允 许 Administrators 组 “完全 控制 ”， 如 
图 12-79 所 示 。 


水 页 党 马 


12-79 配置 共享 文件 夹 


2 对 于 另 一 台 HyperV 主机 ， 由 于 没有 图 形 管理 界面 ， 所 以 ， 可 以 在 网 络 中 的 另 一 全 
Windows Server 2008 主机 中 使 用 MMC 管理 控制 台 ， 添 加 “计算 机 管理 ”组 件 ， 在 添加 的 时 候 ， 
选择 “远程 计算 机 ”并 指定 Hyper-V 主机 的 卫 地 址 为 172.30.5.17， 这 样 就 可 以 使 用 图 形 界 面 管理 
远程 Hyper-V 主机 了 。 

添加 之 后 ， 在 “计算 机 管理 一 系统 工具 一 共享 文件 夹 一 共享 ”中 ， 创 建 共享 ， 共 享 名 为 
MSVM-Temp-Hyper-V， 该 共享 指向 172.30.5.17 的 D 盘 MSVM-Temp-Hyper-V 文件 来， 如 图 12-80 
所 示 。 
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12-80 ”创建 共享 
在 创建 的 时 候 ,， 允许 “管理 员 组 ”具有 完全 控制 权限 ， 其 他 用 户 有 只 读 权限 ， 如 图 12-81 所 示 。 


共享 成 功 之 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 12-82 所 示 。 
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图 12-81 共享 文件 夹 的 权限 图 12-82 ”共享 成 功 


在 2 台 主机 上 创建 共享 文件 夹 之 后 ， 接 下 来 将 这 两 个 共享 文件 夹 添加 到 “ 库 ” 服 务 器 上 ， 步 又 
如 下 。 


0 在 VMM 管理 员 控制 台中， 在 左 侧 的 任务 窗 格 中 选中 “ 库 ”， 然 后 右 击 “hyper-v-2008r2. 
heinfo.local” 库 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “添加 库 共享 ”命令 ， 如 图 12-83 所 示 。 

922 在 “添加 库 共享 ”对 话 框 中 ， 选 中 前 面 创建 的 共享 文件 夹 ， 如 图 12-84 所 示 。 

io 旨 在 “摘要 ”对 话 框 中 ， 复 查 设置 ， 如 图 12-85 所 示 。 
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图 12-84 添加 库 共享 图 12-85 ”摘要 
添加 完成 之 后 ， 参 照 步 又 1~3， 为 男 一 台 Hyper-V 主机 添加 库 共 享 ， 在 此 不 再 介绍 。 


12.4.2 ”准备 模板 虚拟 机 


在 将 “虚拟 机 ”转换 为 模板 之 前 ， 还 需要 对 虚拟 机 进行 一 系列 的 定制 。 在 本 节 中 ， 以 前 文 创建 
的 Windows Server 2003 虚拟 机 为 例 进行 介绍 。 
to0d 在 Windows Server 2003 虚拟 机 安装 好 “虚拟 来 宾 服务 ”之 后 ， 启 动 并 连接 到 该 虚拟 机 ， 


如 图 12-86 所 示 。 
02 在 Windows Server 2003 虚拟 机 中 ， 启 用 “交互 式 登录 : 不 需要 按 CTRL+ALT+DEL” 属 


性 ， 如 图 12-87 所 示 。 
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图 12-86 启动 虚拟 机 图 12-87 不 需要 按 CTRL+ALT+DEL 即 可 登录 


io3j 禁用 “显示 “关闭 事件 跟踪 程序 ”” 属 性 (如 图 12-88 所 示 ) 以 及 “激活 “关闭 事件 跟 
踪 程序 系统 状态 数据 ”功能 ”属性 ， 如 图 12-89 所 示 。 
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12-88 ”关闭 事件 跟踪 程序 12-89 ”关闭 事件 跟踪 程序 状态 数据 


i@O 细 在 “控制 面板 一 添加 /删除 程序 ”中 ， 确 认 “Hyper-V 集成 服务 ”已 经 安装 ， 如 图 12-90 
所 示 。 


05) 修改 虚拟 机 属性 ， 加 载 Windows Server 2003 的 第 1 张 安装 光盘 ， 如 图 12-91 所 示 。 


@ Ne cnn na mn 


ee | J 
12-90 ”确认 集成 服务 已 安装 12-91 ”加载 Windows Server 2003 安装 光盘 
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06| 进入 Windows Server 2003 虚拟 机 ,在 Windows Server 2003 安装 光盘 的 \SUPPORTVTOOLS 
目录 中 ， 从 DEPLOY.CAB 中 “提取 ”所 有 文件 ， 如 图 12-92 所 示 。 

it0g 将 DEPLOY.CAB 中 所 有 文件 提取 到 C 盘 sysprep 文件 夹 中 (选中 C 盘 单 击 “新 建文 件 
夹 ”， 创 建 这 个 文件 夹 ) ， 如 图 12-93 所 示 。 
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图 12-92 提取 文件 1 


io8j 然后 定位 到 Ci\sysprep 文件 夹 ， 运 行 setupmgr.exe ( 如 图 12-94 所 示 ) ， 进 入 “安装 管理 
器 ”对 话 框 ， 如 图 12-95 所 示 ， 单 击 “ 下 一 步 ”按钮 。 


12-94 ”setupmgr.exe 程序 12-95 安装 管理 器 
iog9 进入 “新 的 或 现 有 的 应 答 文件 ”对 话 框 中 ， 选 择 “ 创 建新 文件 ” 单 选 按 钮 ， 如 图 12-96 
所 示 。 
加 在 “安装 的 类 型 ”对 话 框 中 选中 “Sysprep 安装 ” 单 选 按钮 ， 如 图 12-97 所 示 。 
国 则 在 “产品 ”对 话 框 中 ， 选 择 该 应 答 文件 用 于 的 Windows 产品 ， 在 此 选择 Windows Server 
2003 企业 版 ， 如 图 12-98 所 示 。 
加 在 “许可 协议 ”对 话 框 中 ， 选 中 “是 ， 完 全 自动 安装 ” 单 选 按 钮 ， 如 图 12-99 所 示 。 
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图 12-96 创建 新 文件 图 12-97 选择 安装 类 型 
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图 12-98 选择 应 答 文件 使 用 的 产品 许可 协议 
8 在 “时 区 ”对 话 框 中 ， 选 择 北京 时 间 ， 如 图 12-100 所 示 。 


因 旨 在 “产品 密 钥 ” 对 话 框 中 ， 输 入 Windows Server 2003 企业 版 的 安装 序列 号 ， 如 图 12-101 


ET | se 


图 12-100 选择 时 区 图 12-101 输入 产品 密 钥 
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因 在 “计算 机 名 ”对 话 框 中 ， 选 中 “自动 产生 计算 机 名 ” 单 选 按钮 ， 如 图 12-102 所 示 。 
忆 gj 在 “管理 员 密码 ”对 话 框 中 ， 设 置 Administrator 密码 ， 并 且 可 以 选择 让 Administrator 自 


动 登录 的 次 数 ， 如 图 12-103 所 示 。 
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图 12-103 管理 员 密码 


图 12-102 自动 产生 计算 机 名 
加 在 “工作 组 或 域 ”对 话 框 中 ， 设 置 计算 机 是 加 入 到 域 ， 还 是 加 入 到 工作 组 ， 如 图 12-104 
所 示 。 如果 要 加 入 到 域 ， 还 需要 指定 域名 与 具有 “将 计算 机 加 入 到 域 ”的 权限 的 域 用 户 ， 以 及 对 应 


的 域 用 户 密码 。 
因 8 在 “标识 字符 串 ” 对 话 框 中 ， 设 置 该 sysprep 配置 文件 的 标识 信息 ， 然 后 将 其 保存 在 


Ci\sysprep 文件 夹 ， 保 存 文件 名 为 sysprep.inf， 如 图 12-105 所 示 。 


图 12-105 ”保存 配置 文件 名 


图 12-104 工作 组 或 域 
记名 配置 管理 器 运行 完成 后 ， 进 入 命令 提示 窗口 ， 在 Ci\sysprep 文件 夹 中 执行 sysprep 程序 ， 
并 在 “系统 准备 工具 2.0” 对 话 框 中 ， 在 “关机 模式 ”下 拉 列 表 中 选择 “关机 ”选项 ， 单 击 “重新 


封装 ”按钮 ， 在 弹出 的 对 话 框 中 单 击 “ 确 定 ” 按 钮 ， 如 图 12-106 所 示 。 
忆 gj 运行 系统 准备 工具 之 后 ，Windows Server 2003 自动 关机 ， 如 图 12-107 所 示 。 
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图 12-106 运行 系统 准备 工具 图 12-107 运行 系统 准备 工具 之 后 关机 
12.4.3 ”克隆 虚拟 机 


在 将 虚拟 机 转换 为 模板 的 时 候 , 会 破解 源 虚拟 机 的 数据 。 所 以 ,在 转换 之 前 , 通常 要 将 源 虚拟 
机 创建 一 个 新 的 克隆 ， 使 用 新 的 克隆 虚拟 机 ， 转 换 为 模板 。 创 建 克隆 虚拟 机 的 步骤 如 下 。 


tQ 贡 用 鼠标 右 击 已 经 关闭 的 虚拟 机 ， 在 弹出 的 快捷 菜单 中 选择 “克隆 ”命令 ， 如 图 12-108 


所 示 。 
to3 在 “虚拟 机 标识 ”对 话 框 中 , 设置 新 的 虚拟 机 的 名 称 。 在 本 例 中 , 指定 为 WS03R2-Temp， 
如 图 12-109 所 示 。 
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图 12-108 克隆 ! 图 12-109 虚拟 机 标识 ! 
I03) 在 “配置 硬件 ”对 话 框 中 , 设置 新 克隆 的 虚拟 机 的 内 存 、CPU、 硬盘 等 信息 ， 如 图 12-110 
所 示 。 可 以 根据 实际 情况 进行 相关 的 设置 ， 或 者 使 用 默认 值 。 
0 弛 在 “选择 目标 ”对 话 框 中 ， 选 中 要 部 署 虚拟 机 还 是 存储 虚拟 机 ， 选 择 “ 将 虚拟 机 放置 到 
主机 上 ” 单 选 按钮 ， 如 图 12-111 所 示 。 
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图 12-110 配置 硬件 12-111 选择 目标 


0g 在 “选择 主机 ”对 话 框 中 ， 为 虚拟 机 选择 主机 ， 如 图 12-112 所 示 。 
t08@ 在 “选择 路 径 ” 对 话 框 中 ， 选 择 虚 拟 机 文件 在 主机 上 的 存储 位 置 ， 如 图 12-113 所 示 。 


pa) Cp ae 
图 12-112 为 虚拟 机 选择 主机 图 12-113 ”选择 路 径 


在 “选择 网 络 ” 对 话 框 中 ， 指 定 用 于 虚拟 机 的 虚拟 网 络 。 
08) 在 “其 他 属性 ”对 话 框 中 ， 指 定 自动 启动 操作 、 操 作 系 统 等 选项 ， 这 些 都 选择 默认 值 


即 可 


to9j 在 “摘要 ”对 话 框 中 ， 显 示 克 隆 的 虚拟 机 的 相关 信息 ， 设 置 无 误 之 后 ， 单 击 “ 创 建 ” 按 
钮 ， 如 图 12-114 所 示 。 注 意 ， 不 要 选中 “在 主机 上 部 署 虚拟 机 之 后 启动 虚拟 机 ” 复 选 框 。 

鹿 g 在 创建 虚拟 机 的 “作业 ”窗口 ， 在 “详细 信息 ”中 可 以 看 到 有 一 项 “修复 差异 磁盘 ”的 
状态 是 0%6， 对 于 当前 这 个 操作 来 说 这 是 正常 的 。 当 “创建 虚拟 机 ”的 “状态 ”是 “已 完成 ”时 ， 
单 击 “ 取 消 作业 ”按钮 即 可 ， 如 图 12-115 所 示 。 
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图 12-114 创建 虚拟 机 图 12-115 ”创建 完成 
12.4.4 ”将 克隆 虚拟 机 转换 为 模板 
在 创建 好 克隆 虚拟 机 之 后 ， 接 下 来 就 可 以 将 克隆 的 虚拟 机 转换 为 模板 ， 步 又 如 下 。 


0 在 VMM 管理 员 控制 台中 , 右 击 新 克隆 的 Windows Server 2003 虚拟 机 ， 在 弹出 的 快捷 菜 
单 中 选择 “新 建 模板 ”命令 ， 如 图 12-116 所 示 。 
lo3 在 弹出 的 警告 信息 中 单 击 “ 是 ”按钮 ， 如 图 12-117 所 示 。 
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图 12-116 ”新建 模 板 图 12-117 警告 信息 


to 引 在 “模板 标识 ”对 话 框 中 ， 设 置 虚拟 机 的 模板 名 称 ， 默 认 与 要 转换 的 虚拟 机 同名 ， 如 
图 12-118 所 示 。 

tQ 约 在 “配置 硬件 ”对 话 框 中 ， 保 持 默认 值 ， 如 图 12-119 所 示 。 

to 甸 在 “来 宾 操作 系统 ”对 话 框 中 ， 指 定 管理 员 密 码 、 标 识 信息 、 产 品 密 铀 等 ， 如 图 12-120 
所 示 。 

WO8j 在 “选择 库 服务 器 ”对 话 框 中 ， 选 择 保存 模板 虚拟 机 的 主机 ， 在 此 选择 172.30.5.31 的 物 
理 主机 (计算 机 名 为 ws08r2-hyper-vheinfolocal) ， 如 图 12-121 所 示 。 
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12-118 ”模板 标识 
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12-120 来 宾 操 作 系统 12-121 选择 库 服务 器 
QZ 在 “浏览 目标 文件 夹 ”对 话 框 中 ， 选 择 保存 虚拟 机 的 库 共享 文件 夹 ， 在 这 台 库 主机 上 ， 
共享 文件 夹 是 MSVM-Temp， 如 图 12-122 所 示 。 
I08| 在 “选择 路 径 ” 对 话 框 中 ， 显 示 出 前 面 选 择 的 库 服务 器 及 库 共享 文件 夹 ， 如 图 12-123 所 示 。 
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图 12-122 ”选择 库 共享 文件 夹 图 12-123 选择 路 径 


tQ9j 在 “摘要 ”对 话 框 中 ,显示 创建 新 模板 的 设置 无误 之 后 单 击 “创建 ”按钮 ， 如 图 12-124 
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所 示 。 
鹿 加 弹出 “作业 ”窗口 ， 开 始 创建 模板 ,创建 完 模板 之 后 ， 可 能 会 有 “返回 信息 ”， 单 击 “ 取 
消 作业 ”按钮 即 可 ， 如 图 12-125 所 示 。 


We 


D oe, et Ma me ee 


le ea 


图 12-124 摘要 图 12-125 ”作业 完成 


加 昌 转换 模板 完成 之 后 ， 在 VMM 管理 员 控 制 台 中 ， 在 “ 库 一 资源 ”列表 中 ， 定 位 到 保存 模 
板 的 库 服 务 器 ， 在 库 共享 文件 夹 中 ， 可 以 看 到 转换 后 的 虚拟 机 文件 夹 ， 如 图 12-126 所 示 。 


12-126 ” 库 共享 文件 夹 


12.4.5 ”从 模板 部 署 虚拟 机 
接 下 来 ， 介 绍 怎样 使 用 创建 好 的 模板 部 署 虚 拟 机 ， 步 骤 如 下 。 


0 在 VMM 管理 员 控 制 台 中 ， 在 “ 库 一 资源 ”列表 中 ， 定 位 到 保存 模板 的 服务 器 中 的 “ 虚 
拟 机 和 模板 ”列表 ， 右 击 选 中 的 模板 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 虚拟 机 ”命令 ， 如 图 12-127 
所 示 。 

io 到 在 “虚拟 机 标识 ”对 话 框 中 , 设置 要 部 署 的 新 的 虚拟 机 名 。, 在 本 例 中 ,设置 为 ws03-01， 
如 图 12-128 所 示 。 
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FE Ta aq-atmuana 


图 12-127 新 建 虚拟 机 12-128 ”虚拟 机 标识 


oO3 在 “配置 硬件 ”对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 12-129 所 示 。 
0 在“ 来宾 操作 系统 ”对 话 框 中 ,设置 “管理 员 密码 ”、“ 产 品 密 铀 ”， 如 图 12-130 所 示 。 


如 果 不 设置 管理 员 密码 ( 自己 设置 ， 与 源 虚 拟 机 的 密码 无 关 ) 与 产品 密 钥 ， 则 会 弹出 图 12-131 的 错 
误 信息 ， 并 且 不 能 继续 。 


CI 
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Eey 
图 12-131 错误 信息 
05) 在 设置 好 管理 员 密 码 、 产 品 密 钥 之 后 ， 进 入 “选择 目标 ”对 话 框 中 ， 选 中 “将 虚拟 机 放 
置 到 主机 上 ” 单 选 按钮 ， 如 图 12-132 所 示 。 
to8@ 在 “为 虚拟 机 选择 主机 ”对 话 框 中 ， 选 择 放置 虚拟 机 的 物理 主机 ， 如 图 12-133 所 示 。 可 
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[Ese [tg Cin 


图 12-132 选择 目标 12-133 ”为 虚拟 机 选择 主机 


0 在 “选择 路 径 ” 对 话 框 中 ， 选 择 虚拟 机 文件 在 主机 上 的 存储 位 置 ， 如 图 12-134 所 示 。 
it@ 和 在 “选择 网 络 ”对 话 框 中， 指定 用 于 虚拟 机 的 虚拟 网 络 ， 如 图 12-135 所 示 。 


Dp sn rhe eri ea 


Epo Fm) 二 本末 
图 12-134 ”选择 路 径 图 12-135 选择 网 络 


to9 在 “其 他 属性 ”对 话 框 中 ， 保 持 默 认 值 ， 如 图 12-136 所 示 。 
蜡 gj 在 “摘要 ”对 话 框 中 ， 显 示 从 模板 部 署 的 新 虚拟 机 的 相关 信息 ， 如 图 12-137 所 示 。 检查 
无 误 之 后 ， 选 中 “在 主机 上 部 署 虚拟 机 之 后 启动 虚拟 机 ” 复 选 框 ， 然 后 单 击 “ 创 建 ”按钮 。 


图 12-136 其 他 属性 图 12-137 摘要 
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在 创建 虚拟 机 的 时 候 ， 如 果 在 81% 进 度 的 时 候 出 错 (如 图 12-138 所 示 )， 则 关闭 “作业 ”窗口 ， 
进行 下 面 的 操作 。 
0 在 VMM 管理 员 控 制 侣 ， 用 鼠标 右 击 新 创建 的 虚拟 机 ， 在 弹出 的 快捷 菜单 中 选择 “连接 


到 虚拟 机 ”命令 ， 如 图 12-139 所 示 。 
"Ey 
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图 12-138 作业 图 12-139 连接 到 虚拟 机 


to3 进入 虚拟 机 之 后 ， 输 入 管理 员 密码 登录 ， 如 图 12-140 所 示 。 管 理 员 密码 是 图 12-130 中 
设置 的 密码 。 

to3j 然后 返回 到 VMM 管理 员 控制 台 ， 右 击 新 部 署 的 虚拟 机 ， 在 弹出 的 快捷 菜单 中 选择 “ 修 
复 ” 命 令 ， 如 图 12-141 所 示 。 


图 12-140 ”输入 管理 员 密码 登录 图 12-141 修复 


0 在 弹出 的 对 话 框 中 ， 选 中 “忽略 ” 单 选 按钮 ， 如 图 12-142 所 示 。 
tog 最 后 进入 虚拟 机 查看 器 ， 关 闭 虚 拟 机 ， 如 图 12-143 所 示 。 至 此 ， 使 用 模板 部 署 虚 拟 机 的 
步骤 完成 。 
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图 12-142 忽略 12-143 ”虚拟 机 关机 


12.5 虚拟 机 的 迁移 


虚拟 机 的 迁移 包括 以 下 几 种 : 

迁移 到 其 他 主机 : 在 部 署 或 创建 虚拟 机 的 时 候 ， 每 个 虚拟 机 会 “依附 ”于 一 个 主机 ， 但 随 着 
虚拟 机 的 增多 ， 有 时 候 ， 有 的 主机 负载 超过 其 主机 性 能 ， 或 者 是 需要 对 虚拟 机 进行 统一 规划 或 调整 
的 时 候 ， 可 能 需要 将 虚拟 机 在 不 同 主机 之 间 迁 移 。 

同一 主机 迁移 到 其 他 存储 : 当 在 同一 主机 上 有 多 个 存储 时 ， 有 的 存储 空间 可 能 会 不 能 满足 虚 
拟 机 的 运行 情况 , 或 者 存储 空间 所 属 的 物理 磁盘 或 存储 服务 器 性 能 受 限 ,在 这 种 情况 下 ,可 以 将 虚 
拟 机 迁移 到 同一 物理 主机 的 其 他 存储 上 。 

在 本 次 实验 中 , 我 们 将 在 网 络 中 部 署 一 台 Windows Storage Server 2008 R2, 并 从 这 台 存 储 服务 
器 给 2 台 Hyper-V Server 主机 分 配 空间 ， 然 后 将 原来 保存 在 本 地 存储 中 的 虚拟 机 迁移 到 网 络 存储 ， 
最 后 在 2 台 不 同 的 主机 之 间 迁 移 虚拟 机 。 


12.5.1 配置 Windows Storage Server 2008 R2 


Windows Storage Server 2008 R2 没有 单独 的 产品 安装 包 , 它 是 在 Windows Server 2008 R2 标准 
版 或 企业 版 的 基础 上 ， 通 过 安装 Windows Storage Server 2008 R2〈 以 下 简称 WSS2008 R2) 的 软件 
包 实 现 的 。 

WSS2008 R2, 包括 Windows Storage Server 2008 R2 Workgroup、Windows Storage Server 2008 
R2 Standard、Windows Storage Server 2008 R2 Enterprise 3 个 版 本 ， 其 中 前 2 个 版 本 需要 安装 在 
Windows Server 2008 R2 标准 版 上 ， 而 Windows Storage Server 2008 R2 Enterprise 则 需要 安装 在 
Windows Server 2008 R2 企业 版 上 , 不 能 将 这 3 个 产品 安装 在 Windows Server 2008 R2 的 Web 版 与 
Datacenter 版 本 上 。 

Windows Storage Server 2008 R2 的 所 有 3 个 版 本 中 都 支持 以 下 功能 : 
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® iSCSI 


Software Target 3.3; 


e@ 打印 和 文档 服务 ; 

e@ Windows 备份 ; 

e@ Windows 搜索 ; 

e@。 DHCP 服务 器 ; 

@ 网 络 文件 系统 (NFS); 

@ 分 布 式 文件 系统 复制 (DFSR ) ; 

e@ 文件 服务 器 资源 管理 器 (FRSM ) 。 


WSS2008 


说 明 Standard Edition terprise Edition 
随机 存 取 内 存 RAMD) 32GB 2TB 

网 络 适配器 无 限制 无 限制 

磁盘 (数量 /接口 /RAID 类 型 ) 任意 /任意 /任意 任意 /任意 /任意 
用 户 无 限制 无 限制 

服务 器 消息 块 (SMB) 连 接 无 限制 无 限制 

单 实例 存储 (SIS) | 和 否 一 三 | 是 是 

故障 转移 群集 | | 是 是 

DNS 和 WINS | | 吓 是 

RODC | | 吓 是 

虚拟 化 (HyperV) | | 是 是 

托管 缓存 | | 天 是 


R2 的 功能 及 指标 如 表 12-1 所 示 : 
表 12-1 WSS2008 R2 的 功能 及 指标 


下 面 简要 介绍 Windows Storage Server 2008 R2 的 安装 ， 以 及 为 两 台 Hyper-V Server 分 配 存储 


空间 的 步骤 。 


1. 安装 WSS 2008 R2 


WSS2008 


R2 的 安装 比较 简单 ， 我 们 以 安装 Windows Storage Server 2008 R2 Enterprise 为 例 进 


行 介绍 ， 主 要 过 程 如 下 。 


0 和 安装 Windows Server 2008 R2 企业 版 ， 并 激活 ( 当然 也 可 以 在 安装 WSS2008 R2 组 件 之 


后 激活 ) ， 如 


图 12-144 所 示 。 
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图 12-144 ”安装 WS2008 R2 企业 版 
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io03 加载 WSS2008 R2 软件 包 镜 像 ， 并 运行 “Windows Storage Server 2008 R2” 目 录 中 的 
“Windows6.1-KB982050-x64-EnterpriseBranding.MSU” 组 件 ( 这 是 WSS2008 企业 版 组 件 ) ， 
图 12-145、 图 12-146 所 示 。 其 他 几 个 组 件 可 以 根据 需要 选择 。 
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图 12-145 WSS2008 R2 安装 文件 图 12-146 ”安装 WSS2008 R2 核心 部 件 


安装 完成 之 后 ， 根 据 提示 重新 启动 计算 机 ， 再 次 进入 系统 之 后 ， 在 “帮助 ”菜单 可 以 看 到 ， 当 
前 系统 已 经 是 Windows Storage Server 2008 R2， 如 图 12-147 所 示 。 


103| 加 载 iSCSI_Software Target_ 33.iso 镜像 运行 其 中 的 “iscsitarget.msi” 程 序 ( 如 图 12-148 
所 示 ) ， 这 是 “Microsoft iSCSI Software Target” 程 序 。 
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图 12-147 升级 完成 图 12-148 iscsitarget.msi 程序 
04 安装 过 程 很 简单 ， 按 照 默 认 值 即 可 完成 安装 ， 如 图 12-149 所 示 。 


在 WSS2008 R2 的 安装 光盘 中 ， 还 有 一 些 补丁 与 程序 ， 可 以 根据 需要 安装 。 
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12-149 ”安装 完成 

2. 为 Hyper-V 分 配 存储 空间 

安装 好 iscsitargetmsi 之 后 ， 就 可 以 为 HyperV (或 网 络 中 的 其 他 Windows、Linux 操作 系统 服 
务 器 ) 分 配 网 络 空间 了 ， 下 面 以 为 172.30.5.17、172.30.5.31 分 配 空间 为 例 ， 介 绍 配置 方法 。 

0 在 WSS2008 R2 服务 器 中 ( 本 例 中 ,该 服务 器 耳 地 址 为 172.30.5.5 ), 运行 “Microsoft iSCSI 
Software Target”， 如 图 12-150 所 示 。 

I02 在 “iSCSITarget” 控 制 台中 右 击 “iSCSI 目标 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 iSCSI 
目标 ”命令 ， 如 图 12-151 所 示 。 
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图 12-150 运行 “Microsoft iSCSI Software Target” 图 12-151 创建 iSCSI 目 标 


3 在 “欢迎 使 用 "创建 罗 CSI 目标 向 导 ”” 对 话 框 ， 单 击 “下 一 步 ”按钮 ， 如 图 12-152 所 示 。 


EI 


本 


图 12-152 ”创建 iSCSI 目标 向 导 


。440 。 
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四 4 在 “iSCSI 目标 标识 ”对 话 框 中 ， 在 “iSCSI 目标 名 称 ” 文 本 框 中 ， 为 新 创建 的 iSCSI 目 
标 创建 一 个 名 称 ， 在 本 例 中 为 “Hyper-V”， 如 图 12-153 所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 

由 5) 在 “iSCSI 发 起 程序 标识 符 ” 对 话 框 中 ， 单 击 “高 级 ”按钮 ， 在 弹出 的 “高 级 标识 符 ” 
对 话 框 中 ， 单 击 “添加 ”按钮 ， 在 “添加 /编辑 标识 符 ” 对 话 框 中 ， 在 “标识 符 类 型 ”下 拉 列 表 中 
选择 “IP 地 址 ”， 在 “ 值 ”处 输入 第 1 台 HyperV 主机 的 瑟 地 址 172.30.5.17， 然 后 单 击 “确定 ” 
按钮 返回 “高 级 标识 符 ” 对 话 框 ， 再 次 单 击 添加 按钮 ， 添 加 172.30.5.31 的 瑟 地 址 ， 如 图 12-154 
所 示 。 


和 反 标 了 而 一 
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12-153 iSCSI 目标 标识 12-154 ”添加 卫 地 址 标识 符 


添加 之 后 单 击 “下 一 步 ” 按 钮 ， 再 次 单 击 “ 完 成 ”按钮 ， 完 成 添加 ， 如 图 12-155 所 示 。 


正在 完成 “创建 iSCSI 目标 向 导 ” 


己 成 功 完 成 “人 建 iscsr 目标 问 守 ”- 


车 要 关闭 比 向 导 并 创建 目标 ， 请 单 击 “ 完 成 ”。 


和 -四 En 
tel 


12-155 ”完成 分 配 
12.5.2 ”在 Windows Server 2008 R2 中 添加 iSCSI 存储 


在 配置 了 Windows Storage Server 2008 R2 并 为 2 台 Hyper-V 主机 分 配 了 存储 空间 之 后 ， 接 下 
来 ， 需要 在 2 台 主 机 中 ， 添 加 并 使 用 存储 。 首先 介绍 在 Windows Server 2008 R2 With Hyper-V 主机 
中 的 添加 方法 与 步骤 。 


t04 在 Windows Server 2008 R2 With Hyper-V 的 主机 中 ， 在 “管理 工具 ”中 选择 “iSCSI 发 起 
程序 ”命令 ， 如 图 12-156 所 示 。 
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em | 如 | 瑟 司 | ET 
图 12-156 iSCSI 发 起 程序 
to3 在 “iSCSI 发 起 程序 属性” 对话 框 中 ， 在 “发 现 ”选项 卡 中 ， 单 击 “ 发 现 门户 ”按钮 ， 
在 弹出 的 “发 现 目标 门户 ”对 话 框 中 ， 在 “IP 地 址 或 DNS 名 称 ” 文 本 框 中 ， 输 入 Windows Storage 
Server 2008 R2 的 IP 地址 ， 本 例 中 是 172.30.5.5， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 12-157 所 示 。 
to3 在 “目标 ”选项 卡 中 ， 在 “已 发 现 的 目标 ”列表 中 ， 可 以 看 到 添加 的 iSCSI 发 起 目标 ， 
但 该 目标 的 “状态 ”是 “不 活动 ”， 单 击 “ 连 接 ” 按 钮 ， 如 图 12-158 所 示 。 
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图 12-157 添加 iSCSI 目标 图 12-158 连接 


W044 在 弹出 的 “连接 到 目标 ”对 话 框 中 ， 选 中 “将 此 连接 添加 到 收藏 目标 列表 ”与 “启用 多 
路 径 ” 复 选 框 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 图 12-159 所 示 。 

IQ3) 再 次 返回 到 “iSCSI 发 起 程序 属性 ”对 话 框 ， 发 现 iSCSI 目标 的 状态 是 “已 连接 ”， 如 
图 12-160 所 示 。 单 击 “ 确 定 ”按钮 返回 。 
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图 12-159 ”连接 到 目标 图 12-160 iSCSI 目标 已 经 连接 


在 添加 iSCSI 目标 之 后 ， 此 时 在 计算 机 中 已 经 多 添加 了 一 块 新 的 “网 络 ”硬盘 ， 该 硬盘 对 于 操 
作 系 统 来 说 ， 相 当 于 “本 地 硬盘 ”， 需 要 对 此 硬盘 进行 分 区 、 格 式 化 等 操作 ， 步 又 如 下 。 


风 昌 打开 “服务 器 管理 器 ”窗口 ， 定 位 到 “存储 一 磁盘 管理 ”， 在 右 侧 的 列表 中 ， 可 看 到 新 
增加 的 硬盘 ， 用 鼠标 右键 单 击 ， 在 弹出 的 快捷 菜单 中 选择 “联机 ”命令 ， 等 硬盘 联机 后 ， 再 用 鼠标 
右键 单 击 ， 从 弹出 的 快捷 菜单 中 选择 “初始 化 磁盘 ”命令 ， 如 图 12-161 所 示 。 

tQg 在 弹出 的 “初始 化 磁 枪 ”对 话 框 中 ， 选 中 要 初始 化 的 磁 栖 ， 在 “为 所 选 磁盘 使 用 以 下 磁 
盘 分 区 有 形式” 中， 选择“GPT (GUID 分 区 表 ) ” 单 选 按钮 ， 如 图 12-162 所 示 。 


冯 件 四 拍 作 人 本 着 0 旨 号 00 
和 轩 | 直 | 号 | 加 二 | 国家 出 


一 二 时 有 四 | 
WR ©) 
EE 
个 mB3( 主 启动 记录 ) 全 ) 
人 BT GT 寺 区 表 ) 5] 
ee 
下 IEEL SS CE 
图 12-161 初始 化 磁盘 12-162 ”初始 化 磁盘 


io3j 之 后 对 此 硬盘 新 建 简单 卷 ， 并 分 配 盘 符 (本 例 中 为 P， 如 图 12-163 所 示 ) ， 然 后 使 用 
NTFS 文件 系统 格式 化 (如 图 12-164 所 示 ) ， 格 式 化 之 后 即 可 使 用 。 
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分 了 2 颈 动 加 号 和 路 径 蒂 式 化 分 区 
为 了 侧 于 访问 ， 可 以 稚 廊 盘 分 区 分 相 蝶 动 器 号 或 抠 壕 宏 防 弃 。 要 在 这 个 述 如 分 区 上 竺 存款 所 ,您 必须 先 次 其 格式 化 = 
于 择 是 下 要 巾 云 化 之 个 各 + 如 果 要 操 式 化， 雪 使 用 什么 设置 
HT -] ei 
个 装 入 以 下 空白 IFS 文件 夫 中 全 | 在 撤 下 列 设置 格式 化 这 十 登 吕 ) 
下 ei 
人 es. 习 
sn a 
多 执行 快速 格式 化 0 
厂 后 有 六 件 和 亦 件 到 E 葵 本 
‘tsm[T mn eTE m:n 
图 12-163 分配 盘 符 图 12-164 格式 化 


12.5.3 在 Hyper-V Server 2008 R2 中 添加 iSCSI 存储 


在 Hyper-V Server 2008 R2 中 添加 iSCSI 存储 ， 
从 本 质 上 来 说 ， 与 在 Windows Server 2008 R2 中 是 
一 致 的 。 但 由 于 Hyper-V 默认 是 “文本 界面 ”， 所 
以 在 添加 的 时 候 ， 会 略 有 区 别 。 下 面 分 别 介绍 。 


to 在 HyperV Server 2008 R2 中 ， 在 “命令 
提示 符 ” 窗 口中 ， 执 行 “%windir%\system32\ 
iscsicpl.exe” 程 序 ， 进 入 “Microsoft iSCSI” 程 序 ， 
在 弹出 的 对 话 框 中 ， 单 击 “ 是 ”按钮 ， 如 图 12-165 
所 示 。 

to3 然后 进入 “iSCSI 发 起 程序 属性 ”对 话 
框 ， 参 照 12.5.2 节 的 内 容 ， 添 加 iSCSI 服务 器 端 并 
进行 连接 ， 如 图 12-166、 图 12-167 所 示 。 


Daa la 
用 TanP et em po 


一 
和 在 下 和 ,s 有 和 各 上 过 六 了 二 条 ww | 


12-166 添加 iSCSI 服务 器 


主要 步骤 如 下 。 


444 。 


图 12-165 ”运行 iSCSI 发 起 程序 


二 时 | Rn 从 | cvs | 村 | 
a 


图 12-167 ”连接 到 iSCSI 服务 器 


然后 返回 “命令 提示 符 ” 窗 口 ， 使 用 diskpart 命令 ， 连 接 新 的 “网 络 ” 硬 盘 并 为 其 分 配 盘 符 ， 
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,04 执行 diskpart 命令 ， 如 图 12-168 所 示 。 

,03 在 diskpart 提示 符 后 ， 执 行 list disk 命令 ， 显 示 当 前 系统 安装 的 磁盘 ， 如 图 12-169 所 示 。 
从 列表 中 可 以 看 到 ， 二 间 秆 于 抽 和 二 作 和 可 其 中 “磁盘 0” 是 原来 计算 机 上 的 本 地 硬盘 ， 而 “ 磁 
盘 1” 是 新 增加 的 磁盘 ， 这 个 硬盘 的 分 区 大 小 是 39GB。 


图 12-168 执行 diskpart 图 12-169 显示 所 有 磁盘 
上 3) 执行 select disk 1 命令 ， 选 择 “磁盘 1” 作 为 当前 的 磁盘 ， 如 图 12-170 所 示 。 
.04 执行 list partition 命令 ， 显 示 当 前 所 选 磁盘 的 分 区 ， 如 图 12-171 所 示 。 当 前 磁 上 盘 有 两 个 
分 区 , 其 中 第 2 个 分 区 大 小 是 38GB, 这 是 在 上 一 节 中 , 创建 动态 磁盘 后 创建 的 分 区 。 然后 执行 select 
partition 2， 选 择 第 2 个 分 区 。 


网 


图 12-170 选择 磁盘 图 12-171 显示 分 


05 执行 assign letter-p， 为 选择 的 分 区 分 配 盘 符 。 本 例 中 ， 分 配 的 盘 符 为 p， 如 图 12-172 所 
示 。 然 后 执行 exit 退出 diskpart 命令 。 


图 12-172 分 配 盘 符 
12.5.4 ”为 Hyper-V 主机 添加 虚拟 机 保存 路 径 


在 为 两 台 Hyper-V 主机 添加 了 网 络 存储 之 后 ， 还 需要 在 Hyper-V 进行 设置 才能 供 虚拟 机 使 用 ， 
主要 步骤 如 下 : 

0 在 VMM 管理 控制 台中 ， 在 左 侧 窗 格 中 选择 “主机 ”， 并 且 在 “Hyper-V 主机 ”列表 中 ， 
选择 要 进行 配置 的 主机 ， 在 右 侧 的 “主机 ”列表 中 选择 “属性 ”， 如 图 12-173 所 示 。 

02| 在 弹出 的 对 话 框 中 ， 在 “放置 ”选项 卡 中 单 击 “ 添 加 ”按钮 ， 在 “选择 目标 文件 来 ”对 
话 框 中 ， 选 择 新 添加 的 网 络 存储 磁盘 ， 在 本 例 中 为 P 盘 ， 如 图 12-174 所 示 。 


对 于 另 一 台 主 机 ， 也 要 进行 添加 ， 在 此 不 再 介绍 。 
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图 12-173 属性 图 12-174 添加 虚拟 机 保存 路 径 
12.5.5 ”同一 主机 迁移 虚拟 机 〈 迁 移 存 储 ) 
在 本 次 操作 中 ， 我 们 介绍 在 同一 主机 、 不 同 存储 之 间 迁 移 虚拟 机 的 方法 ， 步 又 如 下 。 


0 出 在 VMM 管理 控制 台中 ,在 左 侧 任务 窗 格 中 选择 “虚拟 机 一 所 有 主机 一 Hyper-V”， 从 中 
选择 一 个 主机 ， 在 右 侧 的 虚拟 机 列表 中 ,选择 一 个 准备 迁移 的 虚拟 机 ， 用 鼠标 右 击 ， 在 弹出 的 快捷 
菜单 中 选择 “迁移 存储 ”命令 ， 如 图 12-175 所 示 。 


可 去 凌 应 由 站 各 徊 从 


国术] 


图 12-175 ”迁移 存储 
0 有 2 在 “选择 路 径 ” 对 话 框 的 “虚拟 机 路 径 ” 中 ， 选 择 新 的 存储 位 置 。 在 本 例 中 ， 选 择 网 络 
存储 了 P 盘 ， 如 图 12-176 所 示 。 
t@3 在 “摘要 ”对 话 框 在 ， 显 示 了 虚拟 机 选择 的 主机 信息 ， 检 查 无 误 之 后 ， 单 击 “ 移 动 ” 按 
人 钮 ， 如 图 12-177 所 示 。 
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图 12-176 选择 路 径 图 12-177 摘要 
it 级 然后 弹出 迁移 虚拟 机 的 “作业 ”窗口 ， 开 始 迁移 虚拟 机 。 迁 移 的 时 间 视 要 迁移 的 虚拟 机 
的 磁 栓 大 小 、 源 存储 、 目 标 存 储 的 速度 而 定 ， 在 本 次 迁移 中 ， 使 用 了 1 分 23 秒 。 迁 移 完 成 之 后 ， 
关闭 作业 窗口 ， 如 图 12-178 所 示 。 
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12-178 ”作业 窗口 


12.5.6 ”在 不 同 主机 间 迁 移 虚拟 机 
最 后 ， 介 绍 在 不 同 主机 之 间 迁 移 虚拟 机 的 方法 ， 步 骤 如 下 : 
01 在 VMM 管理 员 控制 台中 ， 选 中 一 台 要 迁移 的 主机 ， 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 


选择 “迁移 ”命令 ， 如 图 12-179 所 示 。 
02 在 “选择 主机 ”对 话 框 中 选择 另 一 台 主 机 ， 如 图 12-180 所 示 。 
[03 在 “选择 路 径 ” 对 话 框 中 选择 在 目标 主机 上 ， 虚 拟 机 的 保存 位 置 ， 如 图 12-181 所 示 。 
四 在 “选择 网 络 ”对 话 框 中 指定 用 于 虚拟 机 的 虚拟 网 络 ， 如 图 12-182 所 示 。 
io 色 在 “摘要 ”对 话 框 中 显示 了 迁移 的 信息 ， 无 误 之 后 ， 单 击 “ 移 动 ”按钮 ， 如 图 12-183 


所 示 。 
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图 12-180 ”选择 另 一 台 主机 12-181 选择 路 径 
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图 12-182 选择 网 络 图 12-183 摘要 
to8@j 然后 显示 “作业 ”窗口 ， 直 到 作业 完成 ， 如 图 12-184 所 示 。 
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第 13 音 Windows Server 2008 R2 
终端 虚拟 化 应 用 


计算 机 的 更 新 速度 是 比较 快 的 ， 而 对 计算 机 的 软件 需求 也 是 越 来 越 高 。3 年 之 前 购置 的 高 配置 
的 机 器 ， 在 现在 看 来 已 经 “落伍 ”了 ， 而 现在 新 购置 的 机 器 ,在 3 年 后 肯定 也 是 “淘汰 品 ”。 对 于 
个 人 来 说 , 可 能 过 三 四 年 就 会 升级 配置 或 更 换 新 的 计算 机 ; 但 对 于 企业 来 说 ,尤其 是 使 用 计算 机 办 
公 的 机 关 、 事 业 单 位 ， 如 果 每 三 四 年 更 新 一 批 计算 机 ， 费 用 是 比较 高 昂 的 ， 但 如 果 不 更 新 又 不 能 满 
足 当 前 办 公 软 件 的 需求 。 

Windows Server 2008 的 “终端 虚拟 化 ”可 以 解决 这 方面 的 问题 ， 与 传统 的 升级 工作 站 的 方式 
相 比 ， 它 只 需要 升级 服务 器 ， 并 且 所 有 的 软件 都 运行 在 服务 器 端 ， 而 将 软件 运行 的 “画面 ”传送 到 
工作 站 端 ， 这 样 ， 工 作 站 端 只 需要 运行 一 个 极 小 的 软件 即 可 。 


13.1 企业 网 络 现状 与 主要 问题 


现在 政府 、 机 关 与 事业 单位 的 办 公用 机 大 都 是 2001 年 左右 配置 的 ， 当 时 都 是 128MB 的 、P3 
或 P4 的 计算 机 , 这 些 计算 机 在 当时 可 以 很 好 地 运行 Windows 2000 或 Windows XP 操作 系统 , 也 可 
以 运行 当时 的 办 公 软 件 。 但 现在 的 办 公 软 件 需要 更 大 的 内 存 、 更 高 的 处 理 器 速度 以 及 更 大 的 硬盘 。 
而 使 用 2001 年 、2002, 甚至 2006 年 流行 配置 的 计算 机 , 运行 现在 的 办 公 软 件 , 速度 是 非常 缓慢 的 。 

对 于 许多 学 校 机 房 来 说 ， 由 于 资金 问题 ， 购 置 的 计算 机 并 不 是 “流行 ”配置 或 高 配置 ， 而 经 
过 几 年 之 后 , 学 生 需 要 学 习 或 练习 的 都 是 目前 的 流行 软件 , 运行 这 些 软件 的 速度 非常 慢 甚 至 是 不 能 
运行 的 。 
于 现在 软件 的 运行 需要 更 高 的 配置 ， 导 致 以 前 购置 的 计算 机 不 能 使 用 。 传 统 的 方法 就 是 升 
级 工作 站 的 配置 ， 或 者 淘汰 当前 的 计算 机 ， 更 换 新 的 计算 机 ， 但 这 样 一 来 ， 需 要 的 资金 是 一 个 比较 
大 的 数字 。 另 外 ， 即 使 现在 购置 了 “高 配置 ”的 计算 机 ， 但 再 过 几 年 ， 仍 然 要 面 对 工 作 站 的 升级 问 
题 ， 这 样 就 走 进 了 “购买 一 升级 一 〈 过 几 年 ) 落伍 一 再 升级 ”的 怪圈 ， 随 着 人 们 对 计算 机 的 依赖 性 
越 来 越 高 ， 将 来 的 升级 费用 也 会 更 高 。 

实际 上 ， 现 在 的 办 公 计 算 机 都 已 经 “联网 ”， 可 以 通过 网 络 以 及 新 的 产品 或 技术 来 解决 这 个 
问题 。 当 工作 站 的 配置 不 能 满足 当前 软件 的 需求 时 ,升级 工作 站 是 一 个 方法 ， 如 果 换 一 种 思路 ， 升 
级 服务 器 未 尝 不 能 解决 问题 。 而 Windows Server 2008 R2 的 “终端 虚拟 化 ”技术 就 可 以 解决 “工作 
站 ”需要 频繁 升级 的 问题 。 


Windows Server 2008 R2 终端 虚拟 化 应 用 。” 利 13 过 


使 用 Windows Server 2008 R2 的 “终端 虚拟 化 ”技术 ， 只 需要 在 企业 网 络 中 的 一 台 或 多 台 ) 
高 配置 的 服务 器 上 , 安装 所 需要 的 软件 , 这 些 软件 都 运行 在 服务 器 端 ， 工 作 站 在 需要 的 时 候 连 接 到 
服务 器 , 服务 器 端 运行 软件 并 将 显示 界面 返回 给 工作 站 端 , 而 工作 站 端 将 键盘 、 鼠 标的 控制 命令 通 
过 网 络 发 送 到 服务 器 ， 服务 器 将 运行 结果 再 返回 给 工作 站 。 这 样 ， 工作站 端 只 是 服务 器 的 一 个 “ 终 
端 ”， 对 工作 站 的 要 求 很 低 。 


13.2 终端 虚拟 化 概述 


通过 远程 桌面 服务 ， 可 以 随时 随地 为 用 户 提供 通过 Internet 或 Intranet 访问 任何 Windows 设备 
上 标准 Windows 程序 的 权限 。RemoteApp 则 可 帮助 用 户 配置 程序 ， 使 用 户 可 以 通过 远程 桌面 服务 


序 。 

使 用 RemoteApp 管理 器 可 使 在 远程 桌面 会 话 主机 (RD 会 话 主机 ) 服务 器 上 安装 的 程序 ， 供 
用 户 用 作 RemoteApp 程序 。RemoteApp 管理 器 会 自动 安装 在 已 安装 RD 会 话 主机 角色 服务 的 计 
算 机 上 。 

RemoteApp 使 您 可 以 通过 远程 桌面 服务 远程 访问 程序 ， 就 好 像 它们 在 最 终 用 户 的 本 地 计算 机 
上 运行 一 样 。 这 些 程序 称 为 RemoteApp 程序 。RemoteApp 程序 与 客户 端的 桌面 集成 在 一 起 ， 而 
不 是 在 远程 桌面 会 话 主 机 (RD 会 话 主机 ) 服务 器 的 桌面 中 向 用 户 显示 。RemoteApp 程序 在 自己 
的 可 调整 大 小 的 窗口 中 运行 ， 可 以 在 多 个 显示 器 之 间 拖 动 , 并 且 在 任务 栏 中 有 自己 的 条 目 。 如 果 用 
户 在 同一 个 RD 会 话 主机 服务 器 上 运行 多 个 RemoteApp 程序 ， 则 RemoteApp 程序 将 共享 同一 
个 远程 桌面 服务 会 话 。 
用 户 可 以 通过 多 种 方式 访问 RemoteApp 程序 : 


e@ 使 用 远程 桌面 Web 访问 (RD Web 访问 ) 。 

e@ 双击 已 由 管理 员 创 建 并 分 发 的 远程 桌面 协议 ( rdp ) 文件 。 

@ 在 桌面 或 “开始 ”菜单 上 ， 双 击 由 管理 员 使 用 Windows Installer ( .msi ) 程序 包 创建 并 分 
发 的 程序 图 标 。 

@ 双击 文件 扩展 名 与 RemoteApp 程序 关联 的 文件 。 这 可 以 由 管理 员 使 用 Windows Installer 
程序 包 进行 配置 。 


-Tdp 文件 和 Windows Installer 程序 包 包含 运行 RemoteApp 程序 所 需 的 设置 。 在 本 地 计算 机 
上 打开 RemoteApp 程序 之 后 ， 用 户 可 以 与 正在 RD 会 话 主 机 服务 器 上 运行 的 该 程序 进行 交互 ， 
就 好 像 它们 在 本 地 运行 一 样 。 

为 什么 使 用 RemoteApp% 呢 ?原因 是 在 许多 情况 下 ，RemoteApp 可 以 降低 复杂 程度 并 减少 管 
理 开 销 ， 包 括 : 


@ ”分支 机 构 ， 其 本 地 IT 支持 和 网 络 带宽 可 能 有 限 。 
e 用 户 需要 远程 访问 程序 的 情况 。 
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e。 部署 行业 (LOB ) 程序 ， 尤 其 是 自 定义 LOB 程序 。 
@ 没有 为 用 户 分 配 计算 机 的 环境 ， 例 如 “公用 办 公 桌 ”或 “旅馆 式 办 公 ” 工 作 区 。 
e@ 如果 部 署 某 个 程序 的 多 个 版 本 ， 尤 其 是 在 本 地 安装 多 个 版 本 时 ， 可 能 会 造成 冲突 。 


实际 上 ，RemoteApp 是 Windows 终端 服务 的 “改进 ”， 以 前 的 终端 服务 ， 默 认 是 发 布 整个 桌 
面 ， 包 括 “ 开 始 菜单 ” “资源 管理 器 ”等 ， 即 使 用 户 只 需要 运行 终端 服务 器 上 的 一 个 程序 ， 也 是 发 
布 整个 桌面 〈 可 以 修改 设置 ， 只 运行 一 个 指定 的 程序 ) 。 而 在 Windows Server 2008 中 ，Microsoft 
将 终端 服务 进行 了 扩展 ， 该 服务 提供 了 更 多 、 更 有 实际 意义 的 功能 。 
于 是 采用 RDP 协议 访问 终端 服务 器 并 使 用 终端 服务 器 提供 的 应 用 程序 ， 所 以 ， 该 种 方式 对 
工作 站 的 要 求 比较 低 : 因为 所 有 的 程序 都 运行 在 服务 器 端 , 工作 站 端 只 是 显示 服务 器 端 运行 的 程序 
的 结果 ,并 将 用 户 的 键盘 、 鼠 标 输入 反馈 到 服务 器 端 执行 相应 的 操作 ， 服 务 器 端 将 运行 结果 显示 在 
工作 站 上 。 所 以 , 这 种 方式 可 以 用 来 升级 工作 站 。 本 人 测试 这 一 产品 的 目的 ， 也 是 想 用 来 升级 学 校 
两 个 配置 比较 低 的 机 房 ， 以 用 来 运行 VS2008、AutoCAD 2005 等 大 型 软件 。 

作为 终端 服务 的 改进 ，RemoteApp 可 以 很 好 地 与 用 户 工作 站 的 本 地 磁盘 、 打 印 机 进行 交互 。 
使 用 RemoteApp， 可 以 直接 访问 用 户 的 磁盘 并 可 以 使 用 用 户 的 打印 机 ， 而 不 像 以 前 的 终端 服务 那 
样 ， 需 要 在 终端 服务 器 与 客户 端 都 安装 打印 驱动 程序 。 

下 面 将 在 Windows Server 2008 R2 中 文 版 中 ， 实 现 RemoteApp 的 功能 。 


13.3 ”远程 桌面 服务 器 的 安装 与 配置 


在 Windows Server 2008 R2 中 ， 安 装 “ 远 程 桌面 服务 ”与 “RemoteApp” 程 序 ， 然 后 在 服务 器 
上 安装 需要 的 应 用 程序 ， 最 后 将 安装 好 的 应 用 程序 发 布 到 Web 服务 器 等 提供 “资源 共享 ”的 地 方 ， 
而 客户 端 通过 访问 服务 器 端的 “Web 服务 器 ”或 “文件 共享 ”来 访问 发 布 的 资源 ， 进 而 连接 到 服 
务 器 ， 使 用 运行 在 服务 器 端的 程序 。 


13.3.1 在 服务 器 上 安装 远程 桌面 


在 Windows Server 2008 R2 服务 器 上 ， 
进入 “服务 器 管理 器 ”窗口 ， 单 击 “ 添 加 角 
色 ” 按 钮 ， 安 装 IIS 与 远程 桌面 服务 ， 如 
图 13-1 所 示 。 

安装 服务 之 后 ， 重 新 启动 计算 机 。 


13.3.2 ”安装 用 于 RemoteApp 的 程序 


在 安装 好 “远程 桌面 服务 ”之 后 ， 需 要 在 
服务 器 上 ， 安 装 RemoteApp 的 程序 ， 主 要 步骤 
如 下 。 


OR an 
r= 7 EE ssc | 册 
图 13-1 添加 IIs 与 远程 桌面 服务 
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四 和 在 服务 器 中 ， 定 位 到 “控制 面板 一 程序 ”， 如 图 13-2 所 示 。 
2 在 “程序 ”窗口 中 ， 单 击 “ 在 远程 桌面 服务 器 上 安装 应 用 程序 ”链接 ， 如 图 13-3 所 示 。 


lal lela| 
La 


图 13-2 添加 程序 图 13-3 ”在 远程 桌面 服务 器 上 安装 应 用 程序 


03j 插入 光盘 ， 浏 览 选 中 要 安装 的 程序 ， 这 里 以 安装 AutoCAD 2002 为 例 ， 如 图 13-4 所 示 。 
to 弥 然后 以 传统 的 方法 安装 程序 , 如 图 13-5 所 示 . 这 里 使 用 了 一 个 AutoCAD 2002 的 精简 版 。 


Tn 2 


med EE EE 
图 13-4 浏览 选中 安装 程序 图 13-5 安装 AutoCAD 


I05) 安装 程序 完成 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 13-6 所 示 。 


图 13-6 ”安装 程序 完成 


每 安装 一 个 程序 ， 都 要 重复 图 13-3 ~ 图 13-6 的 步骤 。 | 
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t0@j 之 后 安装 其 他 程序 ， 例 如 Office 2007、Photoshop CS、VC、VB、VS2008 等 。 


13.3.3 添加 RemoteApp 


当 用 于 RemoteApp 的 程序 安装 完成 后 ， 返 回 到 “服务 器 管理 器 ”窗口 ， 定 位 到 “角色 一 远程 
桌面 服务 一 RemoteApp 管理 器 ”， 单 击 右 侧 的 “添加 RemoteApp 程序 ”命令 ， 如 图 13-7 所 示 。 


入 性交 失 作 必 ) 可 再 q 重 动 明 
中 | 六 [条 


图 13-7 添加 RemoteApp 程序 
在 “RemoteApp 向 导 ” 对 话 框 的 “名 称 ” 列 表 中 ， 选 择 用 来 添加 的 RemoteApp 程序 ， 只 需要 
在 前 面 打 上 “vY” 即 可 ， 如 图 13-8 所 示 。 可 以 一 次 选中 多 个 要 添加 的 程序 ， 也 可 以 一 次 选中 一 个 。 
在 “复查 设置 ”对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 13-9 所 示 。 


met， 序列 去 的 站 吾 设 轩 
ee ET wotohoy i, 区" 


cn zonz 中 广电 

i 
性 
jaa 


和 

ti re 

一- eam| By | am | | 
图 13-8 选中 要 添加 的 程序 图 13-9 ”添加 程序 完成 


13.3.4 创建 RDP 文件 


在 添加 RemoteApp 程序 之 后 ， 可 以 将 应 用 程序 “发布 ” 这 样 就 可 以 在 工作 站 端 使 用 了 。 首 先 
可 以 将 应 用 程序 发 布 成 “RDP 文件 ” 供 工 作 站 端 使 用 。 
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0 在 “服务 器 管理 器 ”窗口 中 ， 定 位 到 在 “服务 器 管理 器 一 远程 桌面 服务 一 RemoteApp 管 
理 器 ” ， 在 “其 他 分 发 选项 ”列表 中 ， 单 击 “ 创 建 .rdp 文件 ”链接 ， 创 建 客户 端 使 用 的 rdp 文件 ， 
如 图 13-10 所 示 。 


图 13-10 创建 rdp 文件 


iO3 在 “欢迎 使 用 RemoteApp 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 13-11 所 示 。 

Oo3 在 “指定 程序 包 设置 ”对 话 框 中 ， 设 置 .rdp 文件 保存 路 径 、 服 务 器 名 称 等 ， 一 般 默 认 保 
存 路 径 ( C:\Program Files\Packaged Programs ) 即 可 ， 如 图 13-12 所 示 。 
Er > 


欢迎 使 用 RemoteApp 向 导 em an, as re eat 


ld 
i 


这 条 9 负 导 之 关 ， 读 请 人 


ee an 
上 


Do 


13-11 RemoteApp 向 导 13-12 ”指定 程序 包 位 置 
0 在 “复查 设置 ”对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 13-13 所 示 。 
105) 打开 图 13-12 中 保存 RDP 文件 的 文件 夹 ， 默 认为 C:\Program Files\Packaged Programs 文 
件 夹 ， 可 以 看 到 发 布 的 应 用 程序 ， 如 图 13-14 所 示 。 
t08j 之 后 ， 将 创建 的 rdp 文件 复制 到 客户 端 ， 用 户 双击 相应 的 客户 端 即 可 调用 服务 器 上 相对 
应 的 程序 了 。 
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本 设置 
情 和 9 地上 时 基 是 站 击 “ 寺 拓 ”以 总 


EEC hh" 
图 13-13 复查 设置 图 13-14 发 布 的 应 用 程序 


为 了 方便 客户 的 使 用 , 可 以 将 图 13-14 中 保存 rdp 文件 的 文件 夹 设置 为 共享 , 如 图 13-15 所 示 。 


OO TR we FJ mp Tam Mier rere 
M0 amet £2 Mh 


13-15 ”设置 为 共享 


以 后 在 客户 端 , 通过 网 络 共享 访问 这 些 rdp 文件 , 就 可 以 运行 服务 器 上 经 过 发 布 的 RemoteApp 
程序 了 。 


13.3.5 将 RemoteApp 程序 发 布 到 Web 页 


如 果 用 户 认为 通过 网 络 共 享 的 方式 访问 rdp 文件 “麻烦 ”， 还 可 以 将 这 些 程序 发 布 到 网 站 中 ， 
供用 户 浏览 选用 。 这 种 方法 很 简单 ， 只 要 在 “RemoteApp 程序 ”列表 中 选择 要 发 布 的 程序 ， 然 后 
单 击 右 侧 的 “在 RD WEB 访问 中 显示 ” 即 可 ， 如 图 13-16 所 示 。 

返回 到 “服务 器 管理 器 一 角色 一 Web 服务 器 一 Intermet 信息 服务 ”中 可 以 看 到 ， 默 认 保存 发 布 
的 RemoteApp 的 Web 页 在 名 为 “RDweb” 的 虚拟 目录 中 ， 在 工作 站 中 浏览 这 个 网 站 就 可 以 看 到 发 
布 的 RemoteApp 应 用 程序 。 
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13-16 ”发布 到 WEB 页 
13.3.6 ”创建 Windows Installer 程序 包 


如 果 想 将 RemoteApp 程序 “集成 ”到 每 个 工作 站 中 , 可 以 将 RemoteApp 程序 发 布 成 “Windows 
Installer 程序 包 ”， 然 后 在 工作 站 上 运行 发 布 的 程序 ， 就 可 以 将 服务 器 端的 程序 “集成 ”到 工作 站 
端 。 主 要 步骤 如 下 。 


0 和 在 “服务 器 管理 器 一 远程 桌面 服务 一 RemoteApp 管理 器 ”中 ， 在 “RemoteApp 程序 ” 列 
表 中 选择 要 发 布 的 程序 ， 然 后 单 击 “ 创 建 Windows Installer 程序 包 ” 和 链接 ， 如 图 13-17 所 示 。 


EE 
CO 


图 13-17 发 布 Windows Install 程序 包 


02 在 “欢迎 使 用 RemoteApp 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 13-18 所 示 。 
3) 在 “指定 程序 包 设置 ”对 话 框 中 ， 选 择 要 发 布 的 程序 包 的 位 置 ， 默 认 与 发 布 的 RDP 文件 
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保存 在 同一 文件 夹 ， 如 图 13-19 所 示 。 


欢迎 使 用 RemoreApp 向 导 


图 13-18 ”向导 图 13-19 ”指定 程序 要 保存 的 位 置 


四则 在 “配置 发 布 程序 包 ” 对 话 框 中 ， 设 置 “快捷 方式 图 标 ”。 例 如 ， 可 以 将 程序 发 布 到 工 
作 站 的 “桌面 ”或 “开始 菜单 ”， 如 图 13-20 所 示 。 
io 色 在 “复查 设置 ”对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 完 成 Windows Installer 程序 包 的 发 布 ， 
如 图 13-21 所 示 。 
和 


要 得 分 发 各 序 包 
部 可 以 相 定 在 宫 记 请 计 站 机 上 二 看 和 光 淋 三 让 的 方式。 


页 直 设 轩 
和 人 本 9 过 遇 用 “ 完 大 ”以 所 


rn Ey, Mi MD 1 Of ee NETICEL 
ee 


于 


13-20 配置 发 布 程序 包 13-21 复查 设置 


06| 客户 端 使 用 : 可 以 将 上 面 发 布 的 Windows Installer 的 程序 包 ， 以 “组 策略 ”发 布 软件 的 
方式 ， 让 工作 站 自动 安装 ; 也 可 以 以 “共享 文件 夹 ”的 方式 ， 让 工作 站 连接 到 服务 器 安装 ; 或 者 通 
过 其 他 共享 方式 ， 让 工作 站 运行 发 布 的 Windows Installer 程序 。 这样 ， 发 布 的 程序 将 “附加 ”在 工 
作 站 的 “所 有 程序 一 远程 程序 ”文件 夹 中 ， 如 图 13-22 所 示 。 

卓 远程 程序 


13-22 ”发 布 的 程序 


之 后 ， 就 可 以 在 工作 站 端的 “远程 程序 ”中 (或 桌面 上 ， 这 要 看 图 13-20 的 设置 ) ， 使 用 发 布 
的 程序 了 。 


* 458 。 
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13.4 在 工作 站 端 测试 RemoteApp 程序 


可 以 通过 Web 站 点 、RDP 文件 和 Windows Installer 程序 包 3 种 方式 ， 来 访问 服务 器 发 布 的 
RemoteApp 程序 ， 下 面 分 别 介绍 。 


13.4.1 通过 Web 站 点 访问 服务 器 提供 的 RemoteApp 程序 
首先 介绍 通过 Web 站 点 访问 服务 器 提供 的 RemoteApp 程序 ， 主 要 操作 步骤 如 下 。 


0 山 在 服务 器 端 发 布 程序 时 ， 是 以 “NetBios 名 称 ” 发 布 的 ， 所 以 ， 在 工作 站 访问 时 ， 还 必须 
以 NetBios 名 称 访问 服务 器 。 当 服务 器 不 是 域 服务 器 并 且 使 用 NetBIOS 名 称 时 , 需要 编辑 工作 站 的 
hosts 文件 ， 解 析 服 务 器 的 名 称 到 相应 的 卫 地 址 ， 如 图 13-23 所 示 。 

io3 然后 打开 正 浏览 器 ， 输 入 http:// 服 务 器 名 称 /rdweb， 如 果 是 IE7 或 IE8， 则 需要 单 击 “ 继 
续 浏 览 此 网 站 ”链接 ， 如 图 13-24 所 示 。 


x) 网 站 了 安全 古书 有 问题 


sm Fe Ea PE 
和 
es 关 而 “全 不 要 但 尖 风 地， 


YO tee. 
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[ld 二 


13-23 ”编辑 hosts 文件 13-24 浏览 RemoteApp 服务 器 


io3 输入 服务 器 用 户 名 、 密 码 登 录 。 用 户 名 可 以 是 普通 用 户 ， 但 该 用 户 需要 加 入 到 “远程 桌 


面 用 户 组 ”中 ， 如 图 13-25 所 示 。 
0 旨 进入 之 后 ， 下 载 并 运行 ActiveX 控件 ， 如 图 13-26 所 示 。 


i 


ae ere cere ese ncaa emt blot TARE te Emus TAR ce ar, ess | 
1 | 


TT 
图 13-25 登录 图 13-26 运行 ActiveX 控件 
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io 甸 之 后 ， 登 录 到 服务 器 发 布 的 Web 页 ， 看 到 发 布 的 “RemoteApp 程序 ”与 “远程 桌面 ”， 
如 图 13-27 所 示 。 

四 6| 单 击 某 个 程序 的 链接 ， 弹 出 类 似 远程 桌面 的 连接 设置 对 话 框 ， 在 此 选中 “驱动 器 ”、“ 打 
印 机 ”、“ 剪 贴 板 ”等 复 选 框 ， 可 以 在 运行 终端 服务 器 的 程序 时 ， 使 用 本 地 的 资源 ， 如 图 13-28 
所 示 。 


图 13-27 服务 器 发 布 的 程序 图 13-28 远程 桌面 客户 端 连 接 设 置 


0 再 次 输入 用 户 名 、 密 码 ， 这 是 登录 到 远程 桌面 的 用 户 名 与 密码 ， 如 图 13-29 所 示 。 
io 和 此 时 将 以 “远程 桌面 ”的 方式 启动 服务 器 端的 程序 ， 如 图 13-30 所 示 。 


在 连接 到 


二 RenoteApp 


[EEN 


13-29 ”输入 服务 器 用 户 名 与 密码 13-30 ”启动 程序 
tog 之 后 就 可 以 运行 程序 ， 如 图 13-31 所 示 ， 这 和 在 本 地 计算 机 上 没有 明显 的 区 别 。 
其 中 “输入 法 ”也 是 服务 器 中 的 输入 法 ， 不 能 使 用 本 地 工作 站 的 输入 法 。 


加 0 图 13-32 是 运行 服务 器 上 的 AutoCAD 2002 时 的 界面 。 

型 荔 如 果 要 打开 或 保存 编辑 后 的 数据 ， 既 可 以 打开 (或 保存 ) 本 机 中 的 文件 ， 也 可 以 使 用 服 
务 器 中 的 文件 。 保 存 / 打 开本 地 硬盘 数据 的 截图 ， 如 图 13-33 所 示 。 其 中 W2008ENT 上 的 下 是 用 户 
端的 卫 盘 ，W2008ENT 是 用 户 端 计算 机 的 名 称 。 
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图 13-33 ”本 地 磁盘 
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13.4.2 通过 RDP 文件 访问 服务 器 提供 的 RemoteApp 程序 


除了 以 Web 方式 连接 并 运行 服务 器 端的 RemoteApp 程序 外 , 还 可 以 通过 “网 络 共享 ”的 方式 ， 
直接 运行 服务 器 端 发 布 的 RDP 文件 ， 主 要 操作 步骤 如 下 。 


四 各 在 工作 站 端 ， 以 “文件 共享 ”的 方式 ， 访 问 服务 器 发 布 的 RDP 共享 文件 夹 ， 如 图 13-34 


所 示 。 
tQ3 用 鼠标 双击 其 中 的 一 个 RDP 文件 , 进入 远程 桌面 连接 对 话 框 , 输入 服务 器 提供 的 用 户 名 、 


密码 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 13-35 所 示 。 


了) ESGhr= 天 
J wo) MA) HD IRG) Mo) 


i i 


1 
13-34 ”连接 到 服务 器 提供 的 共享 文件 夹 13-35 连接 到 服务 器 
to3 之 后 就 可 以 运行 服务 器 端 发 布 的 程序 了 ， 如 图 13-36 所 示 。 


了 


13-36 ”服务 器 端 发 布 的 Word 程序 
13.4.3 ”通过 Windows Installer 程序 包 访问 服务 器 发 布 的 RemoteApp 程序 
除了 上 述 2 种 方式 以 外 ， 还 可 以 通过 Windows Indtaller 程序 包 访问 服务 器 发 布 的 RemoteApp 
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程序 ， 主 要 步骤 如 下 。 
四 和 在 打开 图 13-34 所 示 的 共享 后 , 还 可 以 看 到 服务 器 端 发 布 的 “Windows Installer” 程序 包 ， 


如 图 13-37 所 示 ， 双 击 某 个 程序 包 。 
四 2 在 弹出 的 “打开 文件 -安全 警告 ”对 话 框 中 ， 单 击 “ 运 行 ”按钮 ， 如 图 13-38 所 示 。 


图 13-38 运行 程序 


图 13-37 安装 MSI 程 序 


iQ3 Windows Installer 程序 将 开始 安装 , 这 个 过 程 很 快 , 只 有 几 秒 种 的 时 间 , 如 图 13-39 所 示 。 
i 唤 程序 安装 完成 后 ， 可 以 在 “开始 菜单 一 程序 一 远程 程序 ”程序 组 中 看 到 新 安装 的 程序 ， 


如 图 13-40 所 示 。 


图 13-40 ”安装 到 工作 站 端的 程序 


图 13-39 ”安装 程序 到 工作 站 
四 9 运行 这 个 程序 ， 会 进入 “远程 桌面 ”启动 页 ， 如 图 13-41 所 示 。 


说 明 
在 图 13-41 的 远程 桌面 连接 时 ， 不 需要 输入 用 户 名 和 密码 。 


ioQ@j 随后 就 会 进入 运行 的 程序 ， 这 是 一 个 Excel 的 程序 ， 如 图 13-42 所 示 。 
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通过 网 络 改造 后 ， RemoteApp 总 体 效果 良好 。 在 实际 使 用 中 ， 发 现 直 接 双 击 rdp 使 用 发 布 的 
RemoteApp 程序 ， 要 比 使 用 网 站 中 运行 的 速度 快 些 。 而 通过 Web 方式 ， 则 不 需要 再 打开 “文件 夹 
共享 ”， 也 不 像 安装 Windows Installer 包 一 样 ， 必 须 安装 的 软件 才能 使 用 ， 而 是 可 以 通过 浏览 服务 
器 端 发 布 的 软件 ， 来 选择 所 需要 的 软件 。 所以， 在 实际 使 用 中 ， 如 果 网 络 中 有 “ 域 控制 器 ”， 而 工 
作 站 都 加 入 到 了 “ 域 ”， 选 择 在 “组 策略 ”中 使 用 软件 发 布 “Windows Installer 程序 包 ” 的 方式 ， 
则 是 最 简单 、 方 便 的 ;， 如果 网 络 中 没有 “ 域 控制 器 ”， 则 采用 “Web 站 点 ”方式 比较 合适 。 


: 4， 


高 级 与 综合 网 络 应 用 


第 14 章 从 Windows Server 2003 升 级 到 Windows Server 2008 R2 


第 15 章 使 用 网 络 为 工作 站 部 署 操作 系统 
第 16 章 Forefront TMG 2010 系 统管 理 与 应 用 
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Windows Server 2008 R2 


如 果 网 络 中 已 经 存在 Windows Server 2003， 并 且 是 Active Directory 的 网 络 ， 想 将 网 络 升 级 到 
Windows Server 2008 或 Windows Server 2008 R2， 则 需要 遵循 一 定 的 步骤 才 可 以 完成 升级 。 为 了 让 
大 家 掌握 这 一 内 容 ， 本 章 将 通过 两 个 案例 ， 介 绍 升级 的 步骤 。 


14.1 升级 到 Windows Server 2008 R2 的 原则 


如 果 要 将 Windows Server 2003 升级 到 Windows Server 2008 或 Windows Server 2008 R2， 有 两 
种 升级 方法 ， 一 种 是 “直接 ”升级 ， 即 直接 将 Windows Server 2003 升级 到 Windows Server 2008 或 
Windows Server 2008 R2; 另 一 种 是 当 不 能 直接 升级 到 Windows Server 2008 或 Windows Server 2008 
R2 的 时 候 ， 可 以 通过 “间接 ”升级 的 方式 完成 升级 。 

在 “直接 ”升级 的 时 候 ， 需 要 遵循 如 下 原则 : 

(1) 只 能 从 同一 版 本 升级 到 更 高 版 本 , 不 能 跨 版 本 升级 。 例如, 你 可 以 将 Windows Server 2003 
标准 版 升级 到 Windows Server 2008 的 标准 版 ， 但 不 能 将 Windows Server 2003 的 标准 版 升级 到 
Windows Server 2008 的 企业 版 。 

(2) 不 能 跨 平台 升级 。 例 如 ， 可 以 从 32 位 的 Windows Server 2003 升级 到 32 位 的 Windows 
Server 2008, 或 者 从 64 位 的 Windows Server 2003 升级 到 64 位 的 Windows Server 2008 或 Windows 
Server 2008 R2， 但 不 能 从 32 位 的 Windows Server 2003 升级 到 64 位 的 Windows Server 2008。 

(3) 不 能 跨 语言 版 本 。 例如， 只 能 从 英文 版 的 Windows Server 2003 升级 到 英文 版 的 Windows 
Server 2008， 但 不 能 升级 到 中 文 版 的 Windows Server 2008 等 。 

(4) 除了 满足 上 述 要 求 外 ， 还 要 符合 升级 到 Windows Server 2008 及 Windows Server 2008 R2 
的 最 低 软 、 硬 件 要 求 〈 主 要 是 CPU 与 磁盘 空间 ， 尤 其 是 系统 盘 空 间 需 求 ) 。 例 如 ， 如 果 要 升级 到 
Windows Server 2008 的 64 位 版 本 ， 则 服务 器 的 硬件 需要 是 64 位 的 CPU。 

凡是 不 能 满足 上 述 直 接 升级 要 求 的 任意 一 条 ， 都 只 能 通过 “间接 ”升级 的 方式 ， 将 网 络 中 的 
Windows Server 2003 升级 到 Windows Server 2008。 例 如 ， 用 户 当前 安装 的 是 Windows Server 2003 
的 标准 版 (32 位 ) ， 想 将 其 升级 到 Windows Server 2008 R2 (只 有 64 位 产品 ) ， 则 可 以 通过 如 下 
的 方式 进行 升级 : 
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(1) 如 果 原 来 的 服务 器 A， 不 能 满足 64 位 的 Windows Server 2008 R2 的 需求 ， 则 只 能 通过 新 
购买 服务 器 B 的 方式 , 将 新 购买 的 服务 器 B 连接 到 网 络 ， 安 装 Windows Server 2008 R2， 并 升级 到 
“ 主 域 ” 控 制 器 ， 原 服务 器 A 降级 到 “额外 ” 域 控制 器 ， 然 后 从 Active Directory 中 脱离 。 新 的 服 
务 器 B 代替 原来 的 服务 器 A 工作 ， 这 是 一 种 升级 方式 。 最 后 ， 将 B 的 他 地 址 、 子 网 掩 码 、 网 关 、 
DNS 设置 成 A 的 相关 参数 。 

(2) 如 果 原 来 的 服务 器 A， 能 满足 64 位 的 Windows Server 2008 R2 的 需求 ， 则 可 以 通过 一 台 
“中 间 ” 的 服务 器 B， 将 B 接 入 网 络 ， 安 装 Windows Server 2008 R2， 并 升级 到 “ 主 域 ”控制 器 ， 
然后 服务 器 A 降级 成 “额外 ” 域 控制 器 ， 从 Active Directory 中 脱离 ， 然后 备份 A 中 的 数据 到 其 他 
服务 器 后 ， 将 A 重新 分 区 、 格 式 化 ， 安 装 Windows Server 2008 R2， 并 升级 到 “ 主 域 ” 控 制 器 ， 中 

间 服 务 器 B 降级 成 “额外 ” 域 控制 器 ， 从 域 中 脱离 ， 这 样 可 以 完成 整个 升级 的 过 程 。 


14.2 直接 从 Windows Server 2003 升级 到 Windows Server 2008 


在 本 节 中 , 通过 一 个 具体 的 实例 , 介绍 从 Windows Server 2003 企业 版 “直接 ”升级 到 Windows 
Server 2008 企业 版 的 内 容 ， 步 又 如 下 。 


04 现 有 一 个 Windows Server 2003 的 Active Directory 服务 器 ， 域 名 为 dc.heinfo.local， 如 
图 14-1 所 示 。 
3 当前 的 产品 是 Windows Server 2003 的 32 位 的 企业 版 ， 如 图 14-2 所 示 。 


| | 和 
Hy 全 ndovs 便 痢 以 下 信息 在 网 结 中 标 误 芝 人 计算机 
计算 机 搞 材 中) 
rodeon server" 或 
eco ine Se 


2 
扰 : il 


要 天 新 地 各 寺 计 算 机 可 加 入 地 ,站 中 "oy 


图 14-1 Active Directory 域名 信息 14-2 ”Windows Server 2003 企业 版 

io3 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 右 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 “ 提 
升 域 功 能 级 别 ” 命 令 ， 如 图 14-3 所 示 。 

4 在 弹出 的 “提升 域 功能 级 别 ” 对 话 框 中 ， 在 “选择 一 个 可 用 的 域 功能 级 别 ” 下 拉 列 表 中 
选择 “Windows Server 2003” 选 项 ， 如 图 14-4 所 示 。 然 后 单 击 “ 提 升 ” 按 钮 ， 完 成 域 功能 级 别 的 
提升 。 

tog 更 新 林 信息 。 


从 Windows Server 2003 升级 到 Windows Server 2008 R2 第 14 齐 


14-3 ”Active Directory 用 户 和 计算 机 图 14-4 ”提升 域 功 能 级 别 


将 Windows Server 2008 的 32 位 的 安装 光盘 ,插入 服务 器 光驱 中 , 或 者 使 用 光盘 镜像 文件 ， 利 
用 虚拟 光驱 软件 加 载 。 在 本 例 中 ，Windows Server 2008 安装 光盘 所 在 盘 符 为 D 盘 。 进 入 命令 提示 
符 ， 执 行 如 下 命令 : 


中 
cd \support\adprep 
adprep /forestprep 


如 图 14-5 所 示 ， 在 提示 输入 C 继续 时 输入 C， 然 后 按 回 车 键 。Windows Server 2008 的 Active 
Directory 准备 工具 将 升级 Windows Server 2003 的 林 到 Windows Server 2008 的 林 。 


I06| 然后 执行 adprep /domainprep， 更 新 域 控制 器 信息 ， 如 图 14-6 所 示 。 


tw Directory 项 相生 到 中 


L 城 控制 器 均 王 足 此 更 求 ， 则 但 人 [， 交 
er 


振作 和 So 
桥 位 关 站 的 所 有 PO 在 大 前 每 个 各 CC 之 间 


croecf 建议 从 国 计 HB 0024362， 特别 是 当 
| 


sch df 文件 和 上 R 


图 14-5 更 新 林 信息 图 14-6 更 新 域 控制 器 信息 


I07 最 后 执行 adprep /domainprep /gpprep 更 新 全 域 信息 ， 如 图 14-7 所 示 。 

IQ8) 更 新 林 信息 、 域 信息 完成 之 后 ， 运 行 Windows Server 2008 的 安装 程序 ， 在 “选择 要 安装 
的 操作 系统 ”对 话 框 中 ， 选 择 与 要 升级 的 Windows Server 2003 相同 的 产品 ， 如 图 14-8 所 示 。 本 例 
中 为 Windows Server 2008 Enterprise ( 完全 安装 ) 。 

to9 在 “您 想 进行 何 种 类 型 的 安装 ”中 ， 选 择 “ 升 级 ”， 如 图 14-9 所 示 。 

思 0| 在 “兼容 性 报告 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 14-10 所 示 。 
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14-7 ”更 新 全 域 信息 


和 从 升 之 前 ， 语 到 件 供 店面 主持 二 站 Windows 5erver 2008 上 放行 禾 
作 ， 并 在 开局 肌 后 他 人 的 牟 导 定 于 六 。 要 在 Yindows Server 目录 上 办 这 
乾 关 划 性 以 臣下 名 工具 和 太 有 ， 请 庆 间 MtpVW/oomiaerareonViaingy) 
LnkeD 85172, 
th a inant 


入 入 作 生 证 针 生得 站 安 交 匠 们 ， 逢 可 之 病名 就 访 玫 。 攻 并 不 加 深 
机 和 生生 生生 和 和 


二 mw 
后 ， 请 让 和 各 和 于 如， 运 丘 “并 加 六 甬 


图 14-9 升级 图 14-10 ”兼容 性 报告 
加 二 随后 ，Windows Server 2008 的 安装 程序 将 开始 进行 升级 安装 ， 如 图 14-11 所 示 。 


着 缠 肛 ndcns 


站 HT 拓 直 。 于 人生 计生 林业 站， 


图 14-11 升级 Windows 


上 2 最 后 会 完成 Windows Server 2008 的 升级 ， 如 图 14-12 所 示 。 
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14-12 ”完成 Windows Server 2008 的 升级 


14.3 ”通过 中 间 服 务 器 升级 到 Windows Server 2008 R2 


如 果 Windows Server 2003 服务 器 (假设 为 A 服务 器 ), 不 满足 升级 到 新 版 Windows Server 2008 
或 Windows Server 2008 R2 的 要 求 ， 则 可 以 通过 “中 间 ” 服 务 器 〈 假 设 为 B 服务 器 ) ， 完 成 升级 。 
下 面 通 过 具体 的 实例 ， 介 绍 这 个 内 容 。 


14.3.1 在 Windows Server 2003 升级 域 信 息 


当前 网 络 中 有 一 台 Windows Server 2003 服务 器 (A， 计 算 机 名 称 为 dcheinfo.local)， 想 要 将 其 
升级 到 Windows Server 2008 R2, 由 于 Windows Server 2003 是 32 位 的 版 本 ,而 Windows Server 2008 
R2 是 64 位 ， 所 以 不 能 直接 升级 。 并 且 其 C 盘 空 间 只 有 6GB， 所 以 ， 想 通过 “中 间 服 务 器 ”的 方 
式 完 成 升级 ， 主 要 步骤 如 下 。 


I04 这 合 即 将 升级 的 Windows Server 2003 的 IP 地 址 是 192.168.80.10, DNS 是 192.168.80.10， 
如 图 14-13 所 示 。 
tO3 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 右 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 “ 提 
升 域 功能 级 别 ” 命 令 ， 在 弹出 的 “提升 域 功 能 级 别 ”对 话 框 中 ， 选 择 “Windows Server 2003”， 如 
图 14-14 所 示 。 然 后 单 击 “ 提 升 ”按钮 ， 完 成 域 功能 级 别 的 提示 。 
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图 14-13 ”服务 器 卫 地 址 与 DNS 14-14 ”提升 域 功能 级 别 
3 更 新 林 信息 。 
将 Windows Server 2008 R2 的 安装 光盘 ,插入 服务 器 光驱 中 ,或 者 使 用 光盘 镜像 文件 ， 利 用 虚 
拟 光 驱 软 件 加 载 。 在 本 例 中 ，Windows Server 2008 R2 安装 光盘 所 在 盘 符 为 E 盘 。 进入 命令 提示 符 ， 
执行 如 下 命令 : 


和 
cd ‘\support\adprep 
adprep32 /forestprep 


如 图 14-15 所 示 , 在 提示 输入 C 继续 时 , 输入 C, 然后 按 回 车 键 。Windows Server 2008 的 Active 
Directory 准备 工具 将 升级 Windows Server 2003 的 林 到 Windows Server 2008 的 林 。 


如 果 要 升级 64 位 的 Windows Server 2003 的 Active Directory 信息 ,可 以 执行 adprep.exe, 这 是 64 位 
的 升级 程序 。 


io 约 然后 执行 adprep32 /domainprep， 更 新 域 控制 器 信息 ， 如 图 14-16 所 示 。 


\eupport \adprop {oaprop32 /dowainprep | 


ning donainpr' 


iprep succeesfully updated the donain-uicde inforaation. 


:\support\adprep [dpr op32 /forestprep 
le new cross donsin planning functionality for Group Policy, RSOp Plennin 
OPREP MAANING, de requires File systen and Active Directory Dowain Seruices perhigsion 
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efore running adprep. all Windous 2000 Retive Directory Donain Controllers in the fer nct ionality at any tine by running “adprep.exe /donainprop /9pprep”on 上 
pgraded to Windous 2090 Service Pack 4 (SP4) or later- tive Directory Donsin Controlior that holde the infractructure operation 
ter role. 
is operation will cause all GP0s located in the policies folder of the 


luser Aetion] 

hf ALL Your existing Mindous 2090 Active Directory Donain Controllers meet this requir | lsvsuoL to be replicated once between the AD DCs in thie domain, 

nd then press ENTER to continue, Otheruioe, type any other key and preos ENTER to qui | Microsoft recomnends reading KB 0324332, particularly if you have a large 
mber of Group policy Objects. 
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14-15 更 新 林 信息 图 14-16 更 新 域 控制 器 信息 


to9 最 后 执行 adprep32 /domainprep /gpprep 更 新 全 域 信息 ， 如 图 14-17 所 示 。 
06j 如 果 以 后 要 在 网 络 中 安装 只 读 域 控制 器 ， 需 要 执行 adprep32 /rodprep， 如 图 14-18 所 示 。 
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pyadprep32 /rodcprep 党 
to the donain FSHO: dc msft.con. 


le information has already been updated. 
[statua/Censequence] 
dprep did not attonpt to rerun this operation 


dprep cuccessfully updated the Group Policy Object (GPO) information 


euppertvadprepy 


> 


14-18 ”为 安装 只 读 域 控制 器 更 新 信息 
14.3.2 ”将 中 间 服 务 器 B 升级 到 额外 域 控制 器 


图 14-17 更 新 全 域 信息 


在 “中 间 服 务 器 ”上 安装 Windows Server 2008 R2， 修 改 计算 机 名 称 ,设置 IP 地址， 将 其 加 入 
到 现 有 的 域 中 ， 主 要 步骤 如 下 。 一 
Er 1 
to 在 服务 器 B 上 ， 安 装 Windows Server 2008 R2， 并 修改 计 A rs 
算 机 名 称 为 AD， 如 图 14-19 所 示 。 ee 


gs ee ee 


HE 站 
I ora 


et i | 


修改 计算 机 名 称 之 后 ， 根 据 提示 ， 重 新 启动 计算 机 。 


02 进入 系统 后 ， 设 置 IP 地 址 为 192.168.80.11，DNS 地 址 为 
服务 器 A 的 地 址 192.168.80.10， 如 图 14-20 所 示 。 

3 然后 运行 dcpromo， 进 入 “Active Directory 域 服务 安装 向 
导 ”， 在 “选择 某 一 部 署 配置 ”对 话 框 中 ， 选 中 “ 现 有 林 一 向 现 有 
域 添加 域 控制 器 ” 单 选 按钮 ， 如 图 14-21 所 示 。 


ETETIXITTITITZTT3 


14-19 ”修改 计算 机 名 称 


ETTEPETEEETT 
rr 
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Er 
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14-20 设置 他 地 址 与 DNS 地 址 14-21 ”向 现 有 林 添 加 域 控制 器 


四 弛 在 “网 络 凭据 ”对 话 框 中 ， 在 “输入 位 于 计划 安装 此 域 控制 器 的 林 中 任何 域 的 名 称 ” 文 
本 框 中 ,输入 当前 网 络 中 的 域名 ， 本 例 为 msft.com， 然 后 单 击 “ 设 置 ” 按 钮 ， 在 “网 络 凭据 ”对 话 
框 中 ， 输 入 域 管理 员 账户 与 密码 ， 如 图 14-22 所 示 。 


4 本 全 语 省 网 


图 14-22 ”网 络 凭据 


iog 在 “选择 域 ”对 话 框 中 ， 选 择 现 有 的 域 ， 如 图 14-23 所 示 。 
io8j 在 “请 选择 一 个 站 点 ”对 话 框 中 ， 为 新 域 控制 器 选择 一 个 站 点 ， 如 图 14-24 所 示 。 


ET 


图 14-23 选择 域 14-24 ”为 新 域 控制 器 选择 一 个 站 点 


四 在 “其 他 域 控制 器 选项 ”对 话 框 中 ， 选 中 默认 值 “DNS 服务 器 ”与 “全 局 编 录 ” 复 选 框 ， 
如 图 14-25 所 示 。 

iD8 “Active Directory 域 服务 安装 向 导 ” 的 其 他 步骤 ， 则 与 升级 到 Active Directory 相似 ， 这 
里 不 一 一 介绍 。 在 “等 待 DNS 安装 完成 ”对 话 框 中 ， 选 中 “完成 后 重新 启动 ” 复 选 框 ， 如 图 14-26 
所 示 。 在 加 入 到 Active Directory 并 成 为 额外 域 控制 器 之 后 ， 系 统 会 自动 重启 。 


图 14-25 ”其 他 域 控制 器 选项 14-26 等待 DNS 安装 完成 


.474 。 
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14.3.3 ”将 中 间 服 务 器 B 升级 到 主 域 控制 器 


在 将 中 间 服 务 器 B 加 入 到 Active Directory 并 成 为 “额外 域 控制 器 ”之 后 ， 接 下 来 要 将 这 台 服 
务 器 升级 到 “ 主 域 控制 器 ”， 主 要 步骤 如 下 。 


01 在 服务 器 B 中 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 定 位 到 “角色 一 Active Directory 域 服务 
一 Active Directory 用 户 和 计算 机 ”， 右 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 “操作 主机 ”命令 ， 如 
图 14-27 所 示 。 

02 打开 “操作 主机 ”对 话 框 ， 我 们 要 做 的 就 是 将 RID、PDC、 基 础 结构 主机 传送 到 服务 器 
B。 首 先 单 击 “RID” 选 项 卡 ， 可 以 看 到 ， 当 前 操作 主机 是 服务 器 A 的 计算 机 名 dc.msftcom， 已 经 
选中 的 是 AD.msft.com ( 服务 器 B 的 计算 机 名 称 ) ， 单 击 “更 改 ” 按 钮 (如 图 14-28 所 示 ) ， 在 弹 
出 的 对 话 框 中 ， 单 击 “ 是 ”按钮 ， 确 定 传送 操作 主机 角色 ， 如 图 14-29 所 示 。 


ETTIETET | 
中 中 放下 日 | 委身 可 


T i El DY 
14-27 操作 主机 14-28 更 改 RID 主机 


tQ3 然后 单 击 “PDC” 选 项 卡 ， 单 击 “ 更 改 ” 按 钮 ， 如 图 14-30 所 示 ， 传 送 PDC 主机 角色 到 
AD.mst.com。 

0 最 后 在 “基础 结构 ”选项 卡 中 ， 传 送 主机 角色 到 AD.msftcom， 然 后 单 击 “关闭 ”按钮 ， 
完成 操作 主机 的 迁移 ， 如 图 14-31 所 示 。 


hd 
EE 
EE 
A fffnne 
和 | 开 
14-29 ”确认 传送 14-30 ”传送 PDC 主机 角色 


iog 返回 到 “服务 器 管理 器 ”控制 台 ， 右 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 “更 改 域 控制 器 ” 
命令 ， 如 图 14-32 所 示 。 


第 4 篇 高 级 与 综合 网 络 应 用 


| ia ] 
图 14-31 完成 操作 主机 的 迁移 图 14-32 更 改 域 控制 器 
to@j 在 “更 改 目录 服务 器 ”对 话 框 中 ， 选 中 服务 器 B 的 计算 机 名 称 AD.msft.com， 然 后 单 击 
“确定 ”按钮 ， 如 图 14-33 所 示 。 
0g 最 后 ， 修 改 服务 器 B 的 瑟 地 址 ， 将 DNS 地 址 改 为 服务 器 B 的 IP 地 址 192.168.80.11， 
如 图 14-34 所 示 。 


Co wm | we | 
图 14-33 更 改 目录 服务 器 
14.3.4 将 原 服 务 器 A 从 Active Directory 中 脱离 


在 将 服务 器 B 升级 到 “ 主 域 控制 器 ”之 后 ， 原 服务 器 A 将 降级 为 “额外 域 控制 器 ”。 接 下 来 的 
操作 ， 是 将 服务 器 A 从 Active Directory 中 脱离 ， 步 又 如 下 。 


四 和 1 切换 到 服务 器 A 中 ， 设 置 DNS 地 址 为 服务 器 B 的 他 地 址 192.168.80.11， 如 图 14-35 所 示 。 
ia 运行 dcpromo， 进 入 “Active Directory 安装 向 导 ”， 在 “删除 Active Directory” 对 话 框 
中 ， 单 击 “下 一 步 ”按钮 ， 如 图 14-36 所 示 。 


图 14-34 修改 DNS 地 址 


14-35 ”修改 DNS 地 址 14-36 删除 Active Directory 


.476 。 
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不 要 选中 “这 个 服务 器 是 域 中 的 最 后 一 个 域 控制 器 ” 复 选 框 ， 因 为 当前 网 络 中 还 有 一 个 域 控制 器 。 


四 3) 在 “管理 员 密码 ”对 话 框 中 ， 为 脱离 域 的 服务 器 ， 设 置 新 的 密码 ， 如 图 14-37 所 示 。 
0 在 “摘要 ”对 话 框 中 , 复查 并 确认 选 定 的 选项 , 无 误 之 后 单 击 “ 下 一 步 ” 按钮， 如 图 14-38 


ER greesm. 

请 锁 入 要 分 于 的 服务 器 管 备 下 椒 户 的 密 词 ， 

各 朋友) ES 

本 让 覃 网 吕 ): | ED 

要 了 RE 项 ， 单 击 “ 上 一 步 ”。 要 开 如 涂 作 ， 单 击 “下 一 步 "。 
一 | mw | 
图 14-37 指定 管理 员 密 码 14-38 ”确认 删除 Active Directory 

W039) 在 “正在 完成 Active Directory 安装 向 导 ” 对话 框 中 ,显示 “已 从 这 人 台 计 算 机 上 删除 Active 


Directory”， 单 击 “ 完 成 ”按钮 ， 如 图 14-39 所 示 。 

06j 在 删除 Active Directory 完成 之 后 ， 根 据 提示 重新 启动 计算 机 。 

0 再 次 进入 系统 之 后 ， 打 开 “ 系 统 属性 ”， 可 以 看 到 ， 当 前 的 计算 机 已 经 是 加 入 到 msft.com 
中 的 一 个 “成 员 服务 器 ”， 如 图 14-40 (a) 所 示 。 

to8j 在 图 14-40 (b ) 所 示 的 “计算 机 名 称 更 改 ” 对 话 框 中 ， 在 “隶属 于 ”选项 组 中 ， 选 中 “ 工 
作 组 ” 单 选 按钮 ， 将 该 计算 机 从 Active Directory 中 脱离 。 脱 离 之 后 ， 重 新 启动 计算 机 ， 至 此 ， 将 
计算 机 A 从 Active Directory 中 降级 并 脱离 的 步骤 完成 。 
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图 14-39 删除 Active Directory 完成 14-40 ”成员 服务 器 


如 果 服 务 器 A 不 符合 安装 Windows Server 2008 或 Windows Server 2008 R2 的 条 件 ， 则 中 间 服 
务 器 B 将 代替 服务 器 A 对 网 络 提供 服务 ， 此 时 ， 可 以 将 服务 器 A 关机 ， 或 者 修改 瑟 地 址 ， 以 供 他 
用 .而 服务 器 B, 则 修改 成 原来 服务 器 A 的 他 地 址 192.168.80.10(DNS 地 址 亦 修改 为 192.168.80.10)， 
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对 原 有 网 络 提供 服务 。 


14.3.5 在 原 服务 器 A 上 全 新 安装 Windows Server 2008 并 完成 迁移 


如 果 原 服务 器 A 符合 全 新 安装 Windows Server 2008 或 Windows Server 2008 R2 的 条 件 ， 则 可 
以 在 该 服务 器 上 ， 通 过 重新 分 区 、 格 式 化 等 操作 安装 Windows Server 2008， 并 加 入 到 域 成 为 额外 
域 控制 器 ， 然 后 升级 到 主 域 控制 器 ， 最 后 原 服务 器 B 降级 ， 从 域 中 脱离 ， 即 可 完成 整个 升级 步骤 ， 
这 些 步骤 前 面 已 经 介绍 过 ， 不 一 一 介绍 。 当 然 ， 也 可 以 在 服务 器 A 成 为 主 域 控制 器 后 ，B 服务 器 
降级 成 额外 域 控制 器 ， 但 不 从 域 中 脱离 ， 而 成 为 额外 域 控制 器 ， 来 对 整个 网 络 提供 服务 ， 这 也 是 一 
种 方法 。 


14.4 升级 ISA Server 到 Forefront TMG 2010 


在 前 面 介绍 的 内 容 ， 只 是 涉及 到 了 Active Directory 的 升级 ， 在 实际 的 网 络 中 ， 如 果 网 络 中 有 
其 他 服务 器 , 例如 加 入 到 Active Directory 的 ISA Server、Windows Server 2003 中 的 DHCP 服务 器 ， 
要 先 完成 这 些 服 务 器 的 升级 ， 才 能 将 整个 网 络 升 级 到 Windows Server 2008 的 Active Directory。 本 
节 将 介绍 这 两 方面 产品 的 升级 。 

ISA Server 只 能 安装 在 Windows Server 2003 系统 上 , 不 能 安装 在 Windows Server 2008 操作 系 
统 上 , 而 Forefront TMG 2010 只 能 安装 在 Windows Server 2008 X64 操作 系统 上 , 所 以 , 不 能 从 ISA 
Server 2006 直接 升级 到 Forefront TMG 2010。 要 想 完 成 从 ISA Server 2006 到 Forefront TMG 2010 
的 升级 , 只 能 先导 出 ISA Server 2006 的 策略 , 重新 安装 Windows Server 2008、Forefront TMG 2010， 
再 导入 ISA Server 2006 的 策略 ， 完 成 升级 。 

下 面 介绍 从 ISA Server 2006 升级 到 Forefront TMG 2010 的 主要 过 程 。 


14.4.1 导出 ISA Server 2006 的 策略 


在 ISA Server 2006 中 ,可 以 根据 需要 导出 ISA Server 2006 的 策略 , 主要 有 配置 消息 : 包括 ISA 
Server 的 所 有 配置 ， 即 ISA Server 的 防火 墙 策略 、VPN 策略 等 。 


@ ISA Server 防火 墙 策略 : 包括 ISA Server 的 所 有 防火 墙 策略 。 
e@ VPN 策略 : 包括 VPN 站 点 、VPN 服务 器 的 策略 。 


如 果 要 使 升级 后 的 Forefront TMG 与 原来 有 相同 的 配置 ， 则 可 以 选择 导出 ISA Server 的 策略 ; 
当然 也 可 以 同时 导出 防火 墙 策略 与 VPN 策略 。 


1. 导出 配置 
在 ISA Server 中 ， 导 出 配置 的 操作 步骤 如 下 。 


ti 和 在 ISA Server 2006 中 , 右 击 ISA Server 的 计算 机 名 称 ， 导 出 ISA Server 2006 的 备份 ， 如 
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图 14-41 所 示 。 
92 在 “导出 首选 项 ”对 话 框 中 ， 选 中 “导出 机 密 信息 ”与 “导出 用 户 权 限 设置 ” 复 选 框 ， 
并 且 设置 保护 密码 ， 如 图 14-42 所 示 。 


园 ] 
选择 您 要 包 合 在 导出 文件 中 的 可 选 数据 。 
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图 14-41 导出 备份 图 14-42 导出 首选 项 


说 明 
一 定 要 选中 “导出 机 密 信息 ” 复 选 框 ， 否 则 在 TMG2010 中 将 不 能 导入 该 设置 。 


03j 指定 导出 文件 位 置 ， 如 图 14-43 所 示 。 
04 导出 完成 ， 如 图 14-44 所 示 。 


Sot. | 正在 完成 导出 向 导 


Marorr 


temmet Secuity Be 从 已 吉 守成 号 出 向 导 。 你 指定 了 下 列 设置 


选项 
户 权 限 ， 机 密 依 息 已 加 更 ) 
su 机 密 依 息 已 加 密 
Ji Visa2006-configisa2006-config xnl 


再 
要 关闭 向 导语 单 击 “ 完 成 ” 。 


tsw[ Be | ww | 
图 14-43 ”指定 导出 位 置 及 文件 名 图 14-44 导出 设置 完成 
2. 导出 防火 墙 策略 


一 般 情 况 下 ， 导 出 服务 器 的 配置 就 可 以 了 。 也 可 以 在 “防火 墙 策略 ”中 ， 只 导出 防火 墙 策略 ， 
这 样 只 保留 防火 墙 策略 。 如 图 14-45 所 示 。 
当然 ， 在 “导出 首选 项 ”对 话 框 中 ， 也 要 选中 “导出 机 密 信 息 ” 复 选 枉 ， 如 图 14-46 所 示 。 


第 4 访 高 级 与 综合 网 络 应 用 


导出 让 导 x 
i 匡 
打 导出 机 密 信 息 @) 
PE BADIVS 共享 机 密 以 及 其 地 机 罕 信 息 。 信 息 
四. 个 字符 ) 四 es 
确认 覃 码 C) | 
关于 最 务 中 特定 的 机 窗 伟 息 的 帮助 
《上 一 步 四 取消 
图 14-45 导出 防火 墙 策略 图 14-46 导出 机 密 信息 


3. 导出 VPN 客户 端 配 置 

也 可 以 在 “虚拟 专用 网 ”中 , 导出 VPN 配置 。 在 使 用 这 一 项 的 时 候 , 笔者 况 然 发 现 了 ISA Server 
的 一 个 “BUG”， 如 图 14-47 所 示 ， 这 里 面 有 两 条 命令 都 是 “导出 VPN 客户 端 配 置 ”， 实 际 上 第 
二 项 是 “导入 VPN 客户 端 配 置 ”。 


14-47 ”导出 VPN 客户 端 配置 


14.4.2 ”在 TMG2010 中 导入 策略 


将 导出 的 ISA Server 配置 文件 (或 防火 墙 策略 、VPN 客户 端 配 置 ) 复制 到 TMG2010 计算 机 上 ， 
运行 TMG2010 管理 控制 台 ， 导 入 ISA Server 2006 的 配置 ， 主 要 步骤 如 下 。 


Lo 右 击 TMG2010 计算 机 名 称 , 在 此 可 以 导入 原来 ISA Server 2006 (或 TMG2010 ) 的 配置 ， 
如 图 14-48 所 示 。 如 果 要 导入 防火 墙 策略 ， 则 需要 右 击 “防火 墙 策略 ”选项 ， 而 不 是 右 击 “ 计 算 机 
名 称 ” 选 项 。 

02) 选择 导入 文件 ， 如 图 14-49 所 示 。 
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图 14-48 ”导入 还 原 图 14-49 选择 导入 文件 


ti 到 此 时 会 提示 ， 你 导入 的 是 早期 版 本 的 TMG 配置 ， 单 击 “ 确 定 ”按钮 即 可 ， 如 图 14-50 
所 示 。 
i 纪 输入 密码 ， 这 是 在 导出 ISA Server 2006 时 所 设置 的 ， 如 图 14-51 所 示 。 


输入 密 杏 
此 文件 中 也 合 已 加 密 的 机 密 信 息 。 


包含 早期 版 本 的 Forefront 
ee 


14-50 ”警告 信息 14-51 输入 保护 密码 


io 名 如 果 在 导出 ISA Server 配置 时 ， 没 有 选中 “导出 机 密 信息 ”选项 ， 此 时 会 弹出 如 图 14-52 
所 示 的 错误 提示 ， 并 且 不 能 继续 操作 。 
to8@j 导入 完成 ， 如 图 14-53 所 示 。 


正在 完成 导入 向 导 
您 已 成 功 诗 成 导入 向 导 。 您 描 定 了 下 列 设置 


SA: 
Moi st aii enste 昌 


© 


图 14-52 无 法 导入 图 14-53 ”导入 完成 


* 481. 
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0 导入 配置 完成 后 ， 单 击 “ 应 用 ”按钮 ， 让 导入 的 配置 生效 ， 如 图 14-54 所 示 。 
tQ8j 如 果 原 来 的 ISA Server 提供 了 VPN 或 VPN 路 由 功能 , 需要 重新 启动 计算 机 , 让 VPN 设 
置 生效 ， 如 图 14-55 所 示 。 


关 半 韦 伯 时 生计 基 机 原因 扣 过 最 为 的 这 项 


选项 0); 区 计划 的 @) 


本 计划 的 


为 执行 计划 中 的 应 用 程序 维护 而 重新 启动 或 关机 。 


注释 双 ): 


图 14-54 让 配置 生效 图 14-55 重新 启动 计算 机 
如 果 没 有 VPN 配置 ， 则 不 用 重新 启动 计算 机 ， 当 前 导入 的 设置 会 立刻 生效 。 


14.5 迁移 Windows Server 2003 的 DHCP 服务 器 
到 Windows Server 2008 R2 


在 将 Windows Server 2003 升级 到 Windows Server 2008 R2 的 过 程 中 ， 如 果 是 通过 “中 间 服 务 
器 ”的 方式 升级 ， 且 网 络 中 有 DHCP 服务 器 ， 则 需要 将 Windows Server 2003 的 DHCP 服务 器 的 备 
份 导出 ， 在 新 的 Windows Server 2008 R2 中 安装 DHCP 并 将 备份 的 数据 导入 ， 完 成 DHCP 服务 器 
的 升级 。 下 面 通过 具体 的 实例 进行 介绍 。 

网 络 中 有 2 台 DHCP 服务 器 ， 这 2 台 服 务 器 都 是 安装 的 Windows Server 2003， 在 升级 到 
Windows 2008 的 过 程 中 ， 其 中 1 台 计算 机 由 于 无 法 卸载 PowerShell 导致 不 能 升级 ， 另 1 台 由 于 系 
统 磁 盘 空 间 太 小 不 能 升级 。 因此 只 能 是 导出 DHCP 的 配置 , 在 网 络 中 另 1 台 计 算 机 中 安装 Windows 
Server 2008 R2 及 DHCP, 并 导入 配置 才 可 。 在 此 简要 介绍 一 下 升级 的 步骤 , 其 中 原 Windows Server 
2003 的 DHCP 服务 器 的 P 地 址 是 172.30.5.9， 新 安装 的 Windows Server 2008 R2 的 IP 地 址 是 
172.30.5.15。 


LO 和 导出 源 DHCP 数据 库 : 在 172.30.5.9 的 Windows Server 2003 中 ,进入 命令 提示 窗口 执行 
下 面 语句 : 
netsh dhcp server dump > c:\exportdump txt 
to3 导出 目标 DHCP 数据 : 在 Windows Server 2008 R2 中 安装 DHCP 服务 器 ， 进 入 命令 提示 
窗口 执行 下 面 语句 : 
netsh dhcp server dump > c:\importdump.txt 


*。482 。 
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然后 将 这 个 文件 ， 复 制 到 172.30.5.9 的 计算 机 上 备用 。 


to3 在 172.30.5.9 的 计算 机 上 ， 用 “记事 本 ”打开 第 1 个 导出 文件 ， 将 


Dhcp Server 172.30.5.2 Add Class "默认 路 由 和 远程 访问 类 别 " "远程 访问 客户 端的 用 户 类 别 " 
525241532e4d6963726f736f66740b 

Dhcp Server 172.30.5.2 Add Class "默认 BOOTP 的 类 别 " "BOOTP 客户 端的 用 户 类 别 " 
424f4f54502e4d6963726f736f6674 0b 

Dhcp Server 172.30.5.2 Add Class "Microsoft Windows 2000 选项 " "Windows 2000 客户 端的 Microsoft 供应 商 特定 
选项 " 4d53465420352e30 1b 

Dhcp Server 172.30.5.2 Add Class "Microsoft Windows 98 选项 " "Windows 98 客户 端的 Microsoft 供应 商 特定 选项 " 
4d534654203938 1b 

Dhcp Server 172.30.5.2 Add Class "Microsoft 选项 " "适用 于 Windows 98 和 Windows 2000 客户 端的 Microsoft 供 
应 商 特定 选项 " 4d4534654 1b 


这 5 行 复制 出 来 ， 另 存 为 1 个 文件 ， 并 将 其 中 的 “Add” 蔡 换 成 “delete”， 然 后 将 “Dhcp” 
用 “netsh dhcp” 蔡 换 。 
然后 用 “记事 本 ”打开 第 2 个 导出 文件 ， 将 


Dhcp Server \\Dhcp2008 Add Class "默认 路 由 和 远程 访问 类 " "远程 访问 客户 端的 用 户 类 " 
525241532e4d6963726f736f6674 0b 

Dhcp Server \Dhcp2008 Add Class "默认 的 网 络 访问 保护 级 别 "" 受 限 访问 客户 端的 默认 特殊 用 户 类 " 
4d5346542051756172616e74696e65 0b 

Dhcp Server \Dhcp2008 Add Class "默认 BOOTP 类 " "BOOTP 客户 端的 用 户 类 " 424f4f54502e4d6963726f736f6674 
0b 

Dhcp Server \Dhcp2008 Add Class "Microsoft Windows 2000 选项 " "针对 Windows 2000 及 更 高 版 本 客户 端的 
Microsoft 供应 商 特定 选项 " 4d53465420352e30 1b 

Dhcp Server \Dhcp2008 Add Class "Microsoft Windows 98 选项 " "Windows 98 客户 端的 Microsoft 供应 商 特定 选 
项 " 4d534654203938 1b 

Dhcp Server \Dhcp2008 Add Class "Microsoft 选项 " "适用 于 所 有 Windows 客户 端的 Microsoft 供应 商 特定 选项 " 
4d534654 1b 


这 6 行 复制 出 来 ， 另 存 为 1 个 文件 , 将 其 中 的 “\Dhcp2008” 用 “172.30.5.2” 替 换 , 将 “Dhcp” 
用 “netsh dhcp” 替 换 。 其 中 “Dhcp2008” 是 Windows Server 2008 的 计算 机 名 称 。 
然后 将 这 2 个 文件 中 的 内 容 ， 合 并 为 1 个 新 的 文件 ， 内 容 如 下 : 


netsh dhcp Server 172.30.5.2 delete Class "默认 路 由 和 远程 访问 类 别 " "远程 访问 客户 端的 用 户 类 别 " 
525241532e4d6963726f736f6674 0b 

netsh dhcp Server 172.30.5.2 delete Class "默认 BOOTP 的 类 别 " "BOOTP 客户 端的 用 户 类 别 " 
424f4f54502e4d6963726f736f6674 0b 

netsh dhcp Server 172.30.5.2 delete Class "Microsoft Windows 2000 选项 " "Windows 2000 客户 端的 Microsoft 供应 
商 特定 选项 " 4453465420352e30 1b 

netsh dhcp Server 172.30.5.2 delete Class "Microsoft Windows 98 选项 " "Windows 98 客户 端的 Microsoft 供应 商 特 
定 选 项 " 4d534654203938 1b 

netsh dhcp Server 172.30.5.2 delete Class "Microsoft 选项 " "适用 于 Windows 98 和 Windows 2000 客户 端的 
Microsoft 供应 商 特定 选项 " 4d534654 1 b 

netsh dhcp Server 172.30.5.2 Add Class "默认 路 由 和 远程 访问 类 " "远程 访问 客户 端的 用 户 类 " 
525241532e4d6963726f736f66740b 

netsh dhcp Server 172.30.5.2 Add Class "默认 的 网 络 访问 保护 级 别 " " 受 限 访问 客户 端的 默认 特殊 用 户 类 " 
4d5346542051756172616e74696e65 0b 
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netsh dhcp Server 172.30.5.2 Add Class "默认 BOOTP 类 " "BOOTP 客户 端的 用 户 类 " 


424f4f54502e4d6963726f736f6674 0b 
netsh dhcp Server 172.30.5.2 Add Class "Microsoft Windows 2000 选项 " "针对 Windows 2000 及 更 高 版 本 客户 端的 


Microsoft 供应 商 特 定 选项 " 4453465420352e30 1b 
netsh dhcp Server 172.30.5.2 Add Class "Microsoft Windows 98 选项 " "Windows 98 客户 端的 Microsoft 供应 商 特 定 


选项 " 4d534654203938 1b 
netsh dhcp Server 172.30.5.2 Add Class "Microsoft 选项 " "适用 于 所 有 Windows 客户 端的 Microsoft 供应 商 特定 选 


项 " 4d534654 1b 
并 修改 扩展 名 为 “.bat” 或 “.cmd”。 然 后 执行 这 个 批 处 理 文件 ， 如 图 14-56 所 示 。 


at2ad3 ba 
.5.9 delete class “ 竹 认 路 由 和 亏 程 访问 类 别 ”"“ 运 程 访 问 


120406963726173686674 昌 


ypepa ah gerser 392. 
tt 


rer 192.38.5.9 delete closs “ 旦 认 B00tF 的 类 列 ” "9001P 宕 户 滑 
eA TT TI Dh 


vonecsh dcp Gorver 172.30.5.9 delete Glee "Tieresoft Uindews 2000 世 项 " Vin 
owe 2 寡 拓 人 Ricrosott 抽 名 病情 宅 记过 aas3455 tau352e30 


dh Soroer 193.8.5.9 plate Cloce icrossft Vindeve 9 这 THe Winds 
fe 训 必 闪 竺 窟 过 振 ” aac54535 


ee 


14-56 ”执行 批 处 理 文件 
tO 约 导出 源 Windows 2003 的 DHCP 数据 库 : 在 172.30.5.9 的 计算 机 中 执行 下 面 语句: 
netsh dhcp server export c:\dhcp-172.30.5.9.txt all 
如 图 14-57 所 示 。 


:neteh dhep Server 172,30.5.9 dd Clase “Hicrocofe 诈 顶 " "适用 于 所 有 Windowe 
户 喘 的 moreeoft 供应 商 符 下 这 项 "44534654 1 b 

记功 认 丰 朋 
onesan dhep aeroer expore orep-192.38.5.9bxe al 

他 成 功 完成 

cn 


图 14-57 导出 Windows 2003 的 DHCP 


I035) 导入 DHCP 数据 库 到 Windows Server 2008 R2 数据 库 中 : 复制 上 一 步 导出 的 文件 到 
172.30.5.15 的 Windows Server 2008 计算 机 ， 执 行 下 面 语句 : 


netsh dhcp server import c:\dhcp-172.30.5.9.txt 
如 图 14-58 所 示 。 


ee 
3 


es 的 目录 


mersh dhop seronp impart o: MAMeD-172.38.5.9. xt 


令 成 功 帝 成， 


:>. 


14-58 ”导入 成 功 
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06| 打开 Windows Server 2008 的 DHCP， 检 查 导入 是 否 安装 成 功 ， 如 图 14-59 所 示 


,二 aly 
Eo TE 
中 中 这 于 /Gs 目 子 


14-59 ”导入 成 功 


如 果 要 将 Windows Server 2003 的 DHCP, 迁 移 到 Windows Server 2008 的 DHCP, 只 需要 执行 步骤 4~ 
5 即 可 ， 不 需要 执行 步骤 1 ~ 3。 
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Windows 部 署 服 务 (Windows Deployment Services,WDS) 是 “RIS (远程 安装 ) 服务 ”的 升级 
版 本 ， 它 可 以 使 用 “Windows 映像 (WIM) 文件 ”为 网 络 中 的 计算 机 ， 远 程 安装 Windows 操作 系 
统 。 多 台 计 算 机 可 以 同时 安装 ， 并 且 不 需要 安装 盘 ， 大 大 提高 了 操作 系统 的 安装 效率 。Windows 
部 署 服 务 可 以 用 来 安装 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 
操作 系统 。 


15.1 什么 是 Windows 部 署 服务 


Windows 部 署 服 务 是 Windows 远程 安装 服务 (RIS) 的 升级 版 本 ， 它 能 为 用 户 计算 机 远程 安 
装 操作 系统 而 无 须 物 理 上 接触 每 个 用 户 机 器 。 使 用 Windows 部 署 服务 可 以 通过 Windows 映像 (wim) 
文件 安装 Windows 操作 系统 ， 它 支持 初始 安装 ， 也 可 以 在 现 有 计算 机 上 重新 安装 操作 系统 。 尤 其 
是 可 以 在 连接 网 络 的 计算 机 上 ,通过 网 络 远程 启动 计算 机 ,使 用 一 个 有 效 的 账户 进行 登录 ， 即 可 通 
过 远程 服务 器 的 Windows 部 署 服务 重新 部 署 操作 系统 。 

Windows 部 署 服务 具有 以 下 优势 : 


@ 降低 部 署 的 复杂 程度 以 及 与 手动 安装 效率 低下 关联 的 成 本 。 

@ 允许 基于 网 络 安装 Windows 操作 系统 (包括 Windows Vista、 Windows 7 和 Windows Server 
2008、Windows Server 2008 R2 ) 。 

ee 将 Windows 映像 部 署 到 未 安装 操作 系统 的 计算 机 上 。 

e@ 支持 包 Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2、 
Windows XP 和 Windows Server 2003 的 混合 环境 。 

e@ 为 把 Windows 操作 系统 部 署 到 客户 端 计算 机 和 服务 器 ， 提 供 端 到 端的 解决 方案 。 

@ 基于 标准 的 Windows Server 2008 安装 技术 (包括 Windows PE、.wim 文件 和 基于 映像 的 安 
- 


Windows Server 2008 及 Windows Server 2008 R2 中 部 署 服务 的 改进 : 


@ 可 以 部 署 Windows Vista、Windows 7 和 Windows Server 2008、Windows Server 2008 R2. 
@ 支持 将 Windows PE 作为 启动 操作 系统 。 
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@ 支持 Windows 映像 (.wim) 格式 ， 不 支持 RISETUP 映像 和 OSChooser 屏幕 。 

@ 可 以 使 用 多 播 功 能 传输 数据 和 映像 。 

@ 可 以 在 独立 服务 器 上 使 用 多 播 功 能 传输 数据 和 映像 (在 安装 传输 服务 器 角色 服务 时 ) 

@ 可 扩展 性 能 更 高 的 PXE 服务 器 组 件 。 

e@ ”用 于 选择 启动 操作 系统 的 新 启动 菜单 。 

@ 可 以 用 于 选择 和 部 署 映像 ， 以 及 管理 Windows 部 署 服务 服务 器 和 客户 端的 新 图 形 用 户 界 
面 。 

@ 增强 的 TFTP 服务 器 。 

@ 支持 通过 网 络 启动 具有 可 扩展 固件 接口 (EFI) 的 基于 x64 的 计算 机 。 

@ 安装 度量 值 报告 。 


15.2 ”Windows 部 署 服务 的 系统 需求 


无 论 是 服务 器 还 是 客户 端 计算 机 ，Windows 部 署 服务 都 未 提出 任何 内 存 或 CPU 速度 的 要 求 。 
Windows 部 署 服 务 器 需要 使 用 NTFS 文件 系统 分 区 ， 并 为 映像 存储 提供 足够 的 磁盘 空间 ， 以 容纳 
所 有 必需 的 映像 。 

Windows 部 署 服务 要 求 下 列 操作 系统 : 


® Windows Server 2008、Windows Server 2008 R2。 
® Windows Server 2003 Service Pack 1 (SP1). 


目前 已 推出 适用 于 Windows Server 2003 SP1 的 Windows 部 署 服务 更 新 包 。 必 须 安装 远程 安装 服务 
( RIS ) ， 但 无 须 对 其 进行 配置 。 


® Windows Server 2003 Service Pack 2 ( SP2 ) 。 


说 明 
如 果 已 安装 RIS，Windows Server 2003 SP2 将 默认 安装 Windows 部 署 服务 。 


® Windows Server 2008 Service Pack 1 (SP1 ) . 


Windows 部 署 服务 的 环境 必须 满足 下 列 要 求 : 


@ Windows 部 署 服务 器 必须 是 Active Directory 域 的 成 员 。 
e 必须 具有 DHCP 服务 器 。 
e 计算 机 必须 支持 PXE 网 络 启动 。 
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15.3 Windows 部 署 服务 的 安装 


本 节 将 在 Windows Server 2008 R2 企业 版 的 计算 机 (已 升级 到 Active Directory 服务 器 ) 上 安 


装 “Windows 部 署 服务 ” 服务 器 配置 为 : 计算 机 IP 地 址 为 172.30.5.15、 计 算 机 名 称 为 DC、Active 
Directory 域名 为 heinfo.local，Windows 部 署 服务 的 安装 步骤 如 下 。 


t@ 测 选择 “开始 一 程序 一 管理 工具 一 服务 器 管理 器 ”， 打 开 “ 服 务 器 管理 器 ”控制 台 ， 选 择 
“角色 ”选项 ， 单 击 “添加 角色 ”和 链接， 运行 “添加 角色 向 导 ”。 
则 2 在 “选择 服务 器 角色 ”对 话 框 中 ， 选 中 “Windows 部 署 服 务 ” 复 选 框 ， 如 图 15-1 所 示 。 
03) 在 “选择 角色 服务 ”对 话 框 中 ,选中 “部 署 服 务 器 ”和 “传输 服务 器 ” 复 选 框 ， 如 图 15-2 
所 示 。 


本 赴 择 服务 器 角色 


FN 


sm nl 


15-1 选择 服务 器 角色 


图 15-2 选择 角色 服务 
to 细 在 “确认 安装 选择 ”对 话 框 中 ， 查 看 并 确认 将 要 安装 的 角色 或 功能 ， 如 图 15-3 所 示 。 


05) 单 击 “安装 ”按钮 开始 安装 。 安 装 结束 后 ， 显 示 “ 安 装 结果 ”对 话 框 ， 如 图 15-4 所 示 
单 击 “关闭 ”按钮 退出 即 可 。 


ET 
Bet a 
Er 
bi 
加 


sgn] er a 


图 15-3 确认 安装 选择 


| 二 


15-4 ”安装 结果 
如 果 你 的 DHCP 服务 器 没有 安装 , 可 运行 “添加 角色 向 导 ” 添加 “DHCP 服务 器 ”。 有关 DHCP 
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服务 器 的 安装 与 配置 ， 可 参考 本 书 第 3 章 的 内 容 ， 下 面 只 介绍 DHCP 服务 器 的 注意 问题 。 


tO 划 在 “选择 服务 器 角色 ”对 话 框 中 添加 “DHCP 服务 器 ”， 如 图 15-5 所 示 。 
[02) 在 “选择 网 络 连 接 绑 定 ”对 话 框 中 ， 选 中 “172.30.5.15” 复 选 框 ， 如 图 15-6 所 示 。 


FE 二 择 服务 性 角色 
开 如 之 削 
es 

er 和 
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本 二 全 
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全 
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15-5 添加 DHCP 服务 器 


图 15-6 ”选择 绑 定 地 址 
to3j 在 “添加 或 编辑 DHCP 作用 域 ” 对 话 框 中 ， 为 当前 DHCP 服务 器 添加 作用 域 ， 作 用 域 的 
地 址 范围 是 172.30.5.100 ~ 172.30.5.199， 如 图 15-7 所 示 。 


t0 约 在 “配置 DHCPv6 无 状态 模式 ”对 话 框 中 ,选中 “对 此 服务 器 禁用 DHCPv6 无 状态 模式 ” 
单 选 按钮 ， 如 图 15-8 所 示 。 


ra | 。 Er 
浅 anaws nm rm 


沪 了 四 Dicevs 无 状态 相 式 


ism rem] 0 | 


图 15-7 添加 作用 域 图 15-8 ”禁用 DHCPv6 无 状态 模式 

tog 安装 DHCP 服务 器 完成 之 后 ， 在 “服务 器 管理 器 ”控制 台中 ， 定 位 到 “DHCP 服务 器 ”， 
删除 其 他 的 作用 域 (只 保留 图 15-7 创建 的 作用 域 ) ， 然 后 打开 该 作用 域 的 “属性 ”对 话 框 ( 如 
15-9 所 示 ) ， 在 “高 级 ”选项 卡 中 ， 选 中 “两 者 ” 单 选 按钮 ， 如 图 15-10 所 示 。 


I06| 最 后 在 “IPv4 属性 ”对 话 框 的 “高 级 ”选项 卡 中 ， 为 DHCP 服务 器 绑 定 172.30.5.15 的 服 
务 器 地 址 ， 如 图 15-11 所 示 。 
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15-11 ” 绑 定 DHCP 服务 器 的 地 址 


15.4 启动 Windows 部 署 服务 


在 “服务 器 管理 器 ”控制 台中 〈 如 果 原 来 “服务 器 管理 器 ”已 经 打开 ， 请 关闭 并 再 次 进入 ) ， 
定位 到 “角色 一 Windows 部 署 服务 ”， 开 始 启动 Windows 部 署 服务 。 


下 面 介绍 Windows 部 署 服 务 的 配置 过 程 与 步骤 。 


tod 用 鼠标 右键 单 击 “dc.heinfo.local”， 从 快捷 菜单 中 选择 “配置 服务 器 ”命令 ， 如 图 15-12 
所 示 ， 启 动 “Windows 部 署 服务 配置 向 导 ”。 


使 用 网 络 为 工作 站 部 署 操作 系统 第 15 党 


则 2 在 “欢迎 页 面 ” 对 话 框 列 出 了 Windows 部 署 服务 所 需要 的 条 件 ， 如 图 15-13 所 示 。 
四 3 在 “远程 安装 文件 夹 的 位 置 ”对 话 框 中 ， 选 择 一 个 可 用 空间 最 大 的 NTFS 分 区 ， 作 为 
Windows 部 署 服务 保存 操作 系统 映像 的 位 置 ， 如 图 15-14 所 示 。 
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图 15-13 ”配置 向 导 图 15-14 选择 位 置 
04) 在 “DHCP 选项 60" 对 话 框 中 ,配置 DHCP 服务 器 .如 果 网 络 中 的 DHCP 服务 器 与 Windows 
部 署 服务 在 同一 台 计 算 机 上 , 须 选 中 “不 侦 听 端口 67? 和 “将 DHCP 选 项 标记 #60 配 置 为 *PXEClient ” 
复 选 框 ， 如 图 15-15 所 示 。 


05 在 “PXE 服务 器 初始 设置 ”对 话 框 中 ， 选 中 “响应 所 有 ( 已 知 和 未 知 ) 客户 端 计算 机 ” 
单 选 按钮 ， 如 图 15-16 所 示 。 
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15-15 DHCP 选项 15-16 ”PXE 服务 器 初始 设置 


06| 在 “配置 完成 ”对 话 框 中 ， 选 中 “立即 在 Windows 部 署 服务 器 上 添加 映像 ” 复 选 框 ， 如 
图 15-17 所 示 。 
tQ 在 “Windows 映射 文件 位 置 ” 对 话 框 中 ， 选 择 将 要 添加 的 Windows 操作 系统 的 位 置 。 在 


本 例 中 ， 将 Windows 7 (集成 SP1 ) 的 32 位 安装 光 组 放 在 光驱 中 ， 该 光驱 的 盘 符 为 D。 在 本 例 中 
选择 D:\， 如 图 15-18 所 示 。 
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图 15-17 完成 配置 图 15-18 指定 映像 文件 位 置 
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08 在 “映像 组 ”对 话 框 中 , 选中 “创建 新 映像 组 ” 单 选 按钮 , 在 此 命名 映像 组 名 称 为 “Windows 
7 SP1”， 如 图 15-19 所 示 。 

99) 在 “复查 设置 ”对 话 框 中 ， 显 示 了 图 15-19 中 要 添加 的 映像 数 ， 分 别 为 “启动 映像 数 ” 
与 “安装 映像 数 ”， 如 图 15-20 所 示 。 
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15-19 ”创建 新 映像 组 图 15-20 复查 设置 


“启动 映像 ”是 用 来 启动 计算 机 的 操作 系统 映像 ，“ 安 装 映像 ”是 用 来 安装 计算 机 的 操作 系统 。 从 
Windows Vista 开始 ， 启 动 映 像 与 安装 映像 分 开 。 使 用 “高 版 本 ”的 启动 映像 启动 计算 机 ， 可 以 安装 “ 低 
版 本 ”的 操作 系统 , 但 低 版 本 的 启动 映像 启动 计算 机 , 将 不 能 安装 “高 版 本 "的 操作 系统 。 例 如 , 用 Windows 


7 SP1 的 启动 映射 启动 计算 机 , 可 以 用 来 安装 Windows Vista、Windows Server 2008、Windows Server 2008 
R2、Windows 7、Windows 7 集成 SP1 包 , 但 如 果 用 Windows Vista 的 启动 映像 启动 计算 机 ， 则 不 能 安装 
Windows 7、Windows Server 2008 R2 操作 系统 映像 。 


蜡 9 在 “任务 进度 ”对 话 框 中 ， 当 操作 系统 的 启动 映像 与 安装 映像 添加 到 Windows 部 署 服务 
器 之 后 ， 显 示 “ 操 作 完成 ”， 单 击 “ 完 成 ”按钮 ， 如 图 15-21 所 示 。 

加 是 返回 到 “服务 器 管理 器 ”控制 人 台 ， 可 以 看 到 已 经 添加 了 5 个 Windows 7 的 安装 镜像 ， 分 
别 是 Windows 7 的 家 庭 基 础 版 、 家 庭 高 级 版 、 专 业 版 、 旗 般 版 、 入 门 版 ， 如 图 15-22 所 示 。 


ECIETEEEITEEETTIET 加 
作 因 进度 


rT 


15-21 ”操作 完成 图 15-22 ”Windows 7 安装 映像 


15.5 ”添加 其 他 操作 系统 的 安装 镜像 


前 文 介绍 过 , 使 用 Windows 部 署 服 务 , 可 以 为 网 络 中 的 计算 机 部 署 Windows Vista、Windows 7、 
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Windows Server 2008、Windows Server 2008 R2 多 个 操作 系统 。 如 果 要 部 署 多 个 产品 (例如 32 位 与 
64 位 )、 多 个 版 本 (例如 Windows 7、Windows 7 集成 SP1、Windows Server 2008 等 )， 推 荐 为 每 
个 不 同 的 产品 与 版 本 ， 创 建 单独 的 “映像 组 ” 并 在 映像 组 中 ， 添 加 对 应 的 操作 系统 的 安装 映像 。 
等 以 后 有 新 的 版 本 了 , 或 者 该 版 本 的 安装 映像 不 再 使 用 ,可 以 直接 通过 删除 该 映像 组 的 方式 ， 从 服 
务 器 中 删除 该 安装 映像 以 释放 磁盘 空间 。 下 面 ， 以 添加 Windows 7 SP1 的 64 位 安装 映像 为 例 ， 介 
绍 创建 映像 组 、 向 映像 组 中 添加 安装 映像 的 方法 ， 步 又 如 下 。 


to 出 在 “服务 器 管理 器 ”控制 台中 ， 定 位 到 “服务 器 管理 器 一 角色 一 Windows 部 署 服务 一 服 
务 器 一 (服务 器 计算 机 名 ) 一 安装 映像 ”， 在 右 侧 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 添 加 映像 组 ”命令 ， 如 图 15-23 所 示 。 

02 在 “添加 映像 组 ”对 话 框 中 ， 输 入 要 创建 的 组 名 ， 在 本 例 中 为 “Windows 7 SP1 X64”， 
如 图 15-24 所 示 。 
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图 15-23 ”添加 映像 组 15-24 ”创建 新 映像 组 


to3j 然后 定位 到 新 创建 的 映像 组 ， 在 右 侧 的 空白 窗 格 中 用 鼠标 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 添 加 安装 映像 ”命令 ， 如 图 15-25 所 示 。 

94 然后 在 光驱 中 ， 换 上 Windows 7 集成 SP1 的 64 位 版 本 ， 在 “映像 文件 ”对 话 框 中 ， 浏 
览 选 择 Windows 7 安装 光盘 根 目 录 中 \sources\installLwin 文件 ， 如 图 15-26 所 示 。 
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图 15-25 ”添加 安装 映像 图 15-26 选择 安装 映像 


在 Windows Vista 及 其 以 后 的 操作 系统 安装 光盘 的 sources 目录 中 ， 有 2 个 映像 文件 ， 其 中 名 为 
install.win 的 是 安装 映像 ， 名 为 boot.win 是 启动 映像 。 
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I05| 在 “可 用 映像 列表 ”对 话 框 中 ， 显 示 了 可 用 的 映像 
列表 及 描述 信息 ， 如 果 采 用 默认 的 名 称 与 描述 ， 人 须 选 中 “使 用 邮 
每 个 选 定 映像 的 默认 名 称 和 说 明 ” 复 选 框 ; 如 果 想 修改 默认 名 
称 及 说 明 , 须 取消 选中 “使 用 每 个 选 定 映像 的 默认 名 称 和 说 明 ” 


复 选 框 ， 如 图 15-27 所 示 。 


四 6| 如 果 在 图 15-27 中 取消 选中 “使 用 每 个 选 定 映像 的 默 
认 名 称 和 说 明 ” 复 选 框 ， 则 会 弹出 “映像 元 数据 ”对 话 框 ， 并 
依次 显示 每 个 映像 的 名 称 及 说 明 ， 可 以 根据 需要 修改 进行 修 


改 ， 如 图 15-28 与 图 15-29 所 示 。 
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图 15-28 修改 前 15-29 ”修改 后 


0 在 “摘要 ”对 话 框 中 ， 显 示 要 添加 的 映像 ， 如 图 15-30 所 示 。 
由 8 添加 映像 完成 后 ， 单 击 “完成 ”按钮 ， 如 图 15-31 所 示 。 


而 介 明 : dv 7 Ne4 
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15-30 ”摘要 


15-31 ”添加 映像 完成 


如 果 你 要 添加 其 他 操作 系统 的 映像 ， 可 参照 前 面 的 步骤 ， 创 建 映像 组 并 添加 映像 ， 这 些 不 再 


一 一 介绍 。 
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15.6 ”添加 启动 映像 


在 添加 安装 映像 之 后 ， 需 要 添加 启动 映像 ， 需 要 注意 的 是 ， 并 不 是 每 次 添加 安装 映像 ， 都 要 
添加 启动 映像 。 如 果 已 经 有 “ 同 版 本 ”的 启动 映像 ， 则 不 用 添加 。Windows 启动 映像 与 安装 映像 
的 关系 是 : 

(1) Windows 7 SP1 与 Windows Server 2008 R2 SP1 的 启动 映像 相同 ,是 同一 版 本 。 目 前 该 版 
本 的 启动 映像 ， 可 以 启动 并 安装 包括 Windows 7 SP1、Windows Server 2008 SP1 及 其 以 前 的 操作 系 
统 ， 例 如 Windows Vista、Windows Server 2008、Windows Server 2008 SP2 等 。 

(2) Windows 启动 映像 也 分 32 位 与 64 位 ,32 位 的 启动 映像 可 以 安装 32 位 与 64 位 的 操作 系 
统 ; 而 64 位 的 启动 映像 ， 只 能 安装 64 位 的 操作 系统 。 如 果 Windows 部 署 服 务 中 ， 同 时 有 32 位 与 
64 位 的 启动 映像 ， 则 在 使 用 Windows 部 署 服务 的 时 候 ， 会 自动 侦 测 客户 端的 类 型 ， 如 果 符 合 安装 
64 位 操作 系统 的 要 求 ， 则 会 出 现 32 位 与 64 位 启动 映像 的 选项 ， 让 用 户 选择 。 如 果 不 符合 64 位 操 
作 系 统 的 要 求 ， 则 会 默认 加 载 32 位 的 启动 映像 。 

(3) 在 添加 更 新 版 本 的 启动 映像 之 后 ， 可 以 删除 以 前 版 本 的 启动 映像 。 

接 下 来 , 介绍 添加 启动 映像 的 方法 ， 以 添加 64 位 的 Windows 7 SP1 的 启动 镜像 为 例 ， 步 又 
如 下 。 


to 出 在 “服务 器 管理 器 ”控制 台中 ， 在 “Windows 部 署 服务 ”中 ， 定 位 到 “启动 映像 ”， 在 
右 侧 空白 窗 格 中 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 启动 映像 ”命令 ， 如 图 15-32 所 示 。 

02) 在 “映像 文件 ”对 话 框 中 ， 从 Windows 7 安装 光盘 中 浏览 选择 名 为 boot.win 的 启动 映像 ， 
如 图 15-33 所 示 。 
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图 15-32 ”添加 启动 映像 15-33 选择 启动 映像 


tO 引 在 “映像 元 数据 ”对 话 框 中 ， 显 示 了 添加 的 映像 的 名 称 与 说 明 ， 也 可 以 根据 自己 的 需要 
或 习惯 进行 定制 ， 如 图 15-34 所 示 。 

to 约 在 “摘要 ”对 话 框 中 ,显示 了 要 添加 的 映像 的 名 称 与 位 数 (x64 表示 64 位 ) ， 如 图 15-35 
所 示 。 

to 外 添加 完成 之 后 ， 单 击 “ 完 成 ”按钮 ， 完 成 映像 的 添加 ， 如 图 15-36 所 示 。 

I06| 添加 启动 映像 之 后 ， 返 回 到 “服务 器 管理 器 ”控制 台 ， 定 位 到 “Windows 部 署 服务 ”， 
在 “启动 映像 ”页 ， 显 示 了 添加 的 映像 ， 如 图 15-37 所 示 。 
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15-34 ”启动 映像 名 称 图 15-35 摘要 


Ef 
图 15-36 添加 启动 映像 完成 图 15-37 添加 启动 映像 完成 


如 果 要 删除 不 再 使 用 的 映像 ， 可 以 用 鼠标 右键 单 击 映像 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ” 
命令 ， 并 根据 提示 操作 即 可 ， 如 图 15-38 所 示 。 
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图 15-38 ”删除 启动 映像 


15.7 配置 Windows 部 署 服务 


在 添加 完 安装 映像 与 启动 映像 后 ， 用 鼠标 右键 单 击 服务 器 名 “dc.heinfo.local”， 从 快捷 菜单 
中 选择 “属性 ”选项 (如 图 15-39 所 示 ) ， 可 以 用 来 配置 Windows 部 署 服务 器 。 
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15-39 Windows 部 署 服 务 器 属性 
Windows 部 署 服务 的 主要 设置 如 下 。 


to 出 在 “DC 属性 ”对 话 框 中， 选择 “PXE 响应 设置 ”选项 卡 ， 选 中 “响应 所 有 (已 知 和 未 
知 ) 客户 端 计算 机 ” 单 选 按钮 ， 如 图 15-40 所 示 。 

W022 选择 “目录 服务 ”选项 卡 ， 在 “新 建 客户 端 命名 策略 ”选项 组 中 ， 设 置 客户 端 计算 机 的 
命名 原则 。 在 “客户 端 账户 位 置 ”选项 组 中 ， 设 置 将 使 用 Windows 部 署 服务 远程 安装 操作 系统 的 
计算 机 的 保存 位 置 ， 如 图 15-41 所 示 。 
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15-40 ”PXE 响应 设置 图 15-41 目录 服务 


在 以 前 的 RIS 服务 器 中 ， 使 用 RIS 部 署 的 计算 机 只 能 保存 在 Active Directory 的 “Computers” 容 器 


中 ， 而 在 Windows 部 署 服 务 中 ， 可 以 将 使 用 Windows 部 署 服务 安装 操作 系统 的 计算 机 统一 保存 在 一 个 
容器 中 。 在 本 例 中 ， 将 其 保存 在 “heinfo local/ 信 息 技术 学 院 /PC” 中 。 


MO3j 在 “启动 ”选项 卡 中 ， 设 置 “ 默 认 启 动 程序 ”和 “默认 启动 映像 ” ， 通 常 选 择 默认 值 即 
可 ， 如 图 15-42 所 示 。 

I04 在 “高 级 ”选项 卡 中 ,将 选择 Windows 部 署 服务 使 用 的 Active Directory 服务 器 和 是 否 对 
DHCP 服务 器 授权 ， 须 选中 “在 DHCP 中 授权 Windows 部 署 服务 服务 器 ” 单 选 按钮 ， 如 图 15-43 
所 示 。 
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图 15-42 ”启动 选项 


15-43 ”高 级 选项 


05) 在 “DHCP” 选 项 卡 中， 设置 DHCP 服务 ， 如 果 当 前 服务 器 上 有 DHCP 
“不 侦 听 端口 67” 和 “将 DHCP 选项 标记 #60 配置 为 “PXEClient ” 复 选 框 ， 如 图 15-44 所 示 。 
tog@j 在 “客户 端 ”选项 卡 中 ， 设 置 是 否 启用 无 人 参与 文件 ， 如 图 15-45 所 示 。 


15-44 设置 DHCP 
设置 之 后 ， 单 击 “ 确 定 ” 按 钮 ， 完 成 Windows 部 署 服务 器 的 设置 。 
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图 15-45 设置 客户 端 


妥 务 器 ， 须 选中 


15.8 Windows 部 署 服 务 远程 安装 Windows 7 


接 下 来 创建 一 个 Windows 7 的 虚拟 机 ， 在 虚拟 机 中 ， 通 过 网 络 安装 Windows 7 操作 系统 ， 主 


要 步骤 如 下 。 


.01 创建 Windows 7 虚拟 机 后 ， 启 动 虚拟 机 ， 当 出 现 “Press F12 for network service boot” 信 


息 时 ， 按 F12 键 ， 如 图 15-46 所 示 。 


2 在 “Windows 部 署 服务 ”对 话 框 中 ， 在 “区 域 设置 ”下 拉 列 表 中 选择 “中 文 (简体 ， 中 


所 示 。 


国 ) ”选项 ， 在 “键盘 和 输入 方法 ”下 拉 列 表 中 选择 “中 文 (简体 ) -美式 键盘 ”， 如 图 15-47 
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图 15-46 按 Fl2 从 网 络 启动 图 15-47 选择 语言 
03) 在 “连接 dc.heinfo.local” 对 话 框 中 ， 输 入 域 用 户 名 及 密码 ， 如 图 15-48 所 示 。 


四 4 单 击 “ 下 一 步 ” 按 钮 显示 “选择 要 安装 的 操作 系统 ”对 话 框 ， 选 择 需要 的 操作 系统 ， 
如 图 15-49 所 示 。 


wor Wedom Win re 


I 


图 15-48 输入 用 户 名 和 密码 图 15-49 选择 要 安装 的 操作 系统 
tog 在 “您 想 将 Windows 安装 在 何 处 ”对 话 框 中 ， 根 据 需 要 对 磁盘 划分 分 区 ， 并 选择 系统 将 
要 安装 的 分 区 ， 一 般 选 择 C 盘 分 区 ， 如 图 15-50 所 示 。 
to8j 设置 完成 后 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 正 在 安装 Windows……” 对 话 框 ，Windows 7 
将 开始 安装 ， 这 一 步 大 约 需要 15~20min 的 时 间 ， 如 图 15-51 所 示 。 
0 在 “设置 Windows 7 旗舰 版 ”对 话 框 中 ， 选 择 时 区 等 设置 ， 如 图 15-52 所 示 。 
Oo8j 在 “输入 用 户 名 ”文本 框 中 ， 为 Windows 7 设置 计算 机 名 称 ， 如 图 15-53 所 示 。 
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图 15-51 正式 安装 


Oa won Bu 


僵 WindOws 7 旅 册 版 
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图 15-52 设置 windows 15-53 设置 计算 机 名 称 


to9j 在 “输入 您 的 Windows 产品 密 钥 ” 对 话 框 中 ， 输 入 Windows 7 的 安装 序列 号 ,或 者 单 击 
“ 跳 过 ”按钮 ， 如 图 15-54 所 示 。 
上 在 “请 阅读 许可 条 款 ” 对 话 框 中 ， 选 中 “我 接受 许可 条 款 ” 复 选 框 ， 如 图 15-55 所 示 。 
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图 15-54 输入 序列 号 图 15-55 ”接受 协议 


使 用 网 络 为 工作 站 部 署 操作 系统 第 15 掌 


加 在 Windows7 旗舰 版 登录 界面 中 ， 输 入 域 用 户 名 与 密码 。 在 本 例 中 ， 用 户 名 为 ws01， 如 
图 15-56 所 示 。 


四 使 用 域 用 户 名 与 密码 登录 之 后 ， 进 入 Windows 7， 安 装 完成 ， 如 图 15-57 所 示 。 


A /lle lo eA 


图 15-56 域 用 户 登 录 图 15-57 ”安装 完成 


15.9 出 现 0x80070002 错误 的 解决 方法 


如 果 网 络 中 原来 存在 Windows 部 署 服务 ， 并 添加 了 新 版 本 的 安装 映像 (例如 原来 使 用 的 是 
Windows Server 2008, 而 现在 添加 了 Windows Server 2008 R2 的 安装 映像 ), 在 部 署 Windows Server 
2008 R2 的 时 候 ， 将 出 现 0x80070002 的 错误 提示 ， 如 图 15-58 所 示 。 


@ eee 


3 


15-58 ”出 现 0x80070002 错误 


此 时 ， 部 署 Windows 7、Hyper-V Server 2008 R2 的 时 候 ， 也 会 出 现 该 错误 提示 。 

这 个 问题 的 原因 是 ， 在 “Windows 部 署 服务 ”中 ， 使 用 的 是 原来 Windows Server 2008 的 “ 启 
动 映 像 ”， 而 不 是 使 用 Windows Server 2008 R2 的 新 的 启动 映射 。 此 时 ， 只 需要 在 “Windows 部 署 
服务 一 启动 映像 ”中 ,添加 最 新 的 Windows Server 2008 R2 及 Windows 7 SP1 的 x86 的 映像 ， 就 可 
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以 解决 问题 ， 如 图 15-59 所 示 。 


图 15-59 ”添加 新 版 启动 映像 


Windows Vista 与 Windows Server 2008 使 用 同一 内 核 ， 而 Windows Server 2008 R2 则 与 Windows 7 


使 用 同一 内 核 。 所 以 ， 只 需要 添加 Windows Server 2008 ( 或 Windows Vista ) 、Windows Server 2008 R2 
(或 windows 7 ) 的 启动 映像 即 可 。 另 外 ，Windows Server 2008 R2 只 有 64 位 产品 ， 如 果 要 部 署 32 位 的 
Windows 7， 则 需要 添加 32 位 的 Windows 7 的 启动 映像 。 


添加 启动 映射 之 后 ， 在 使 用 “Windows 部 署 服务 ”远程 安装 操作 系统 ， 选 择 操 作 系 统 选单 的 
时 候 ,如 果 部 署 的 是 Windows Vista 及 Windows Server 2008, 可 以 选择 “Microsoft Windows Longhorn 
Setup”， 也 可 以 选择 “Microsoft Windows Setup”， 如 果 要 部 署 Windows 7 及 Windows Server 2008 
R2， 则 需要 选择 新 添加 的 “Microsoft Windows Setup”， 如 图 15-60 所 示 。 


Windows Boot Manager (Server IP: 202.206.197.124) 


for this choice, p 


15-60 ”启动 选单 
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Forefront TMG 是 Microsoft 第 1 个 64 位 的 防火 墙 与 代理 服务 器 软件 , 它 只 支持 Windows Server 
2008 操作 系统 。 Forefront TMG 继承 并 发 扬 了 ISA Server 的 功能 与 特点 , 并 且 增 加 了 许多 新 的 功能 。 
本 章 主要 介绍 了 使 用 Forefront TMG 配置 成 使 用 PPTP 与 L2TP 协议 的 “标准 ”VPN 服务 器 的 组 建 ， 
还 介绍 了 适合 Windows Vista、Windows 7 等 客户 端 使 用 的 SSTP 协议 的 VPN 服务 器 的 组 建 。 

本 章 介 绍 使 用 Microsoft Forefront TMG 2010 做 防火 墙 、 代 理 服务 器 、VPN 服务 器 的 内 容 ， 其 
中 VPN 部 分 还 包括 组 建 基于 传统 PPTP、L2TP 协议 的 VPN 网 络 ， 以 及 包括 Microsoft 最 新 的 基于 
SSTP 协议 的 VPN 网 络 的 组 建 。 同 时 ， 还 介绍 使 用 Forefront TMG 为 多 个 站 点 组 建 VPN 路 由 的 方 
式 ， 让 Forefront TMG 轻松 连接 多 个 广域网 。 为 了 让 大 家 快速 入 门 ， 本 章 将 以 4 个 案例 的 方式 进行 
介绍 。 

(1) 案例 1: 16.1 一 16.4 节 。 介 绍 Forefront TMG 的 基本 使 用 ， 在 这 些 内 容 中 ， 介 绍 的 是 “ 案 
例 1”， 即 使 用 Forefront TMG 做 防火 墙 与 代理 服务 器 。 

(2) 案例 2: 16.5 节 。 介 绍 基于 PPTP、L2TP 协议 的 VPN 服务 器 的 组 建 ， 是 在 “案例 1” 的 
基础 上 ， 使 用 同一 台 服 务 器 组 建 的 VPN 服务 器 。 

(3) 案例 3: 16.6 节 。 介 绍 VPN 路 由 器 的 配置 ， 是 在 “案例 2” 的 基础 上 ， 通 过 连接 另外 一 
个 远程 网 络 来 实现 的 。 

(4) 案例 4: 16.7 节 。 介 绍 基于 SSTP 协议 的 VPN 服务 器 的 组 建 ， 是 在 “案例 1” 的 基础 上 ， 
通过 增加 Windows Server 2008 的 “证 书 服务 器 ”进行 配置 来 实现 的 。 


16.1 ”Forefront TMG 功能 概述 


Forefront TMG 是 Forefront Threat Management Gateway 的 简称 ， 它 是 Microsoft 推出 的 最 新 一 
代 的 集 防火 墙 、 代 理 服务 器 、 入 侵 检 测 、 安 全 网 关于 一 体 的 安全 产品 ， 相 对 于 它 的 上 一 个 版 本 ISA 
(是 Internet Security and Acceleration 的 简称 ) Server 2006， 它 属于 全 新 的 架构 : 只 支持 64 位 平台 
并 且 需 要 Windows Server 2008〈 及 其 以 上 ) 的 操作 系统 。 它 具有 更 好 的 性 能 、 更 高 的 安全 性 。 
Forefront TMG 的 构建 基础 是 Microsoft Intemet Security and Acceleration (ISA) Server， 虽 在 
提供 完善 的 集成 网 络 安全 网 关 。 在 Forefront TMG 方面 进行 的 主要 投资 旨 在 提供 其 他 保护 功能 ， 
以 确保 公司 网 络 能 够 抵御 基于 Intemet 的 外 部 威胁 。 
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16.1.1 Forefront TMG 的 功能 


它 包 括 以 下 新 功能 : 

(1) Web 反 恶 意 软件 ， 它 是 Forefront TMG Web 保护 订阅 服务 的 一 部 分 。 Web 反 恶 意 软 
件 可 扫描 网 页 以 查找 病毒 、 恶 意 软件 和 其 他 威胁 。 

(2) URL 筛选 ， 根 据 URL 类 别 〈 例 如 色情 内 容 、 毒 品 或 购物 ) 允许 或 拒绝 访问 网 站 。 不 
仅 可 以 阻止 员工 访问 包含 已 知 恶 意 软件 的 网 站 ， 还 可 通过 限制 或 阻止 访问 干扰 网 站 来 确保 业务 效 
率 。 URL 筛选 也 是 Web 保护 订阅 服务 的 一 部 分 。 

(3) 电子 邮件 保护 订阅 服务 , Forefront TMG 基于 Forefront Protection 2010 for Exchange Server 
中 的 集成 技术 ， 来 提供 电子 邮件 保护 订阅 服务 。Forefront TMG 可 作为 SMTP 通信 中 继 ， 并 且 可 以 
扫描 网 络 电子 邮件 以 查找 病毒 、 恶 意 软件 、 垃 圾 邮件 和 内 容 〈 例 如 可 执行 文件 或 加 密 的 文件 ) 。 

(4) HTTPS 检查 ， 可 检查 HTTPS 加 密会 话 ， 以 确定 是 否 存在 恶意 软件 或 漏洞 利用 情况 。 出 
于 隐私 考虑 , 可 以 不 对 特定 网 站 组 (如 银行 网 站 ) 进行 检查 。 进行 此 项 检查 时 会 通知 Forefront TMG 
客户 端 用 户 。 

(5) 网 络 检查 系统 (NIS) ， 可 检查 通信 ， 以 确定 是 否 存在 利用 Microsoft 漏洞 的 情况 。 NIS 
可 根据 协议 分 析 阻 止 各 类 攻击 ， 并 在 最 大 程度 上 减少 误 报 情况 。 可 以 根据 需要 更 新 保护 措施 。 

(6) 增强 的 网 络 地 址 转换 (NAT) ,能 够 指定 可 基于 1 对 1 NAT 发 布 的 单个 电子 邮件 服务 器 。 

(7) 增强 的 Voice over IP 支持 SIP 遍历 ， 人 允许 在 网 络 内 简化 Voice over IP 的 部 署 过 程 。 

(8) 支持 64 位 的 Windows Server 2008，Forefront TMG 需要 64 位 平台 ， 并 只 能 安装 在 64 
位 的 Windows Server 2008 及 Windows Server 2008 R2 上 。ISA Server 2006 不 支持 Windows Server 
2008， 也 不 能 安装 在 64 位 系统 上 。 


16.1.2 ”Forefront TMG 版 本 


和 ISA Server 2006 相似 ，Forefront TMG 2010 也 包括 标准 版 与 企业 版 。 这 两 个 版 本 包含 相同 
的 功能 , 并 且 具 有 相同 的 保护 和 访问 控制 功能 , 只 是 支持 的 网 络 规模 不 同 , 表 16-1 显示 了 Forefront 
TMG 标准 版 与 企业 版 的 功能 以 及 不 同 之 处 。 


表 16-1 Forefront TMG 标准 版 与 企业 版 的 区 别 


支持 的 部 署 方案 独立 陈列 中 的 服务 器 


CPU 数量 支持 最 多 4 个 CPU 无 限制 

存储 本 地 支持 对 防火 墙 策略 和 配置 进行 远程 管理 
陈列 /NLB/CARP 支持 不 支持 ， 一 个 陈列 中 只 能 具有 一 台 服务 器 支持 

企业 管理 不 支持 支持 ， 增 加 了 管理 标准 版 的 功能 

是 否 支持 发 布 “服务 器 ” | 支持 支持 


是 否 支持 VPN 


转发 代理 /缓存 压缩 支持 支持 

网 络 IPS CNIS) 支持 支持 

电子 邮件 保护 支持 ， 需 要 Exchange 许可 支持 ， 需 要 Exchange 许可 
Web 保护 需要 订阅 需要 订阅 

ISP 元 余 功能 支持 支持 
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16.1.3 ”Forefront TMG 系统 需求 


Forefront TMG 需要 最 低 1.86GHz、 双 核 、64 位 CPU (不 需要 硬件 辅助 虚拟 化 )、 最 低 4GB 
内 存 (2GB 内 存 也 可 以 运行 ， 但 较 慢 ) 、 至 少 2.5GB 的 可 用 空间 (必须 是 NTFS 文件 系统 ) 用 于 
安装 (但 Forefront TMG 在 运行 过 程 中 产生 的 日 志 比 较 大 ) 、 至 少 1 个 网 卡 (但 一 般 至 少 2 个 网 卡 ， 
带 外 围 网 络 则 需要 3 块 甚至 更 多 网 卡 ) 。 

Forefront TMG 需要 64 位 的 Windows Server 2008， 也 支持 Windows Server 2008 R2 (只 有 64 
位 版 本 ) ，Forefront TMG 还 需要 Windows Server 2008 中 的 “网 络 策略 服务 器 ”、“ 路 由 和 远程 访 
问 服务 ”、Microsoft .Net Framework 3.5 SP1 等 产品 ， 这 些 软件 可 以 由 Forefront TMG 准备 工具 进 
行 安装 。 


16.2 ”Forefront TMG 部 署 与 基本 配置 


本 节 将 讲述 Forefront TMG 的 安装 与 基本 配置 。 在 本 节 的 内 容 中 ， 将 Forefront TMG 安装 在 一 
台 具 有 2GB 内 存 、 安 装 了 Windows Server 2008 R2 中 文 版 操作 系统 、 具 有 两 个 网 卡 的 计算 机 上 。 


16.2.1 多 VLAN 网 络 中 三 层 交 换 机 的 配置 


一 些 人 对 软件 防火 墙 有 个 错误 的 概念 ， 认 为 软件 防火 墙 不 能 支持 多 网 段 ， 实 际 上 是 没有 了 解 
网 络 、 路 由 、 网 关 的 概念 及 意义 导致 的 误解 。 如 果 让 软件 防火 墙 支持 多 网 段 ， 除 了 需要 在 网 络 中 的 
三 层 交 换 机 上 设置 静态 路 由 外 ， 还 要 在 安装 软件 防火 墙 的 计算 机 上 使 用 route 命令 ， 添 加 到 其 他 网 
段 的 静态 路 由 。 为 了 让 大 家 明了 ， 本 节 通 过 具体 的 实例 ， 介 绍 这 个 问题 。 

某 单 位 网 络 ， 有 大 约 400 台 计 算 机 ，10 几 台 服务 器 ， 一 条 20M 的 光纤 连接 到 Intermet。 在 该 
单位 中 , 通过 一 台 高 端的 华为 交换 机 作 核 心 交换 机 ， 其 他 若干 台 交 换 机 做 接 入 层 交 换 机 。 如 图 16-1 


服务 器 1 服务 器 2 


连接 到 Internet 服务 器 3 


SS SS 
工作 站 工作 站 工作 站 工作 站 
图 16-1 Forefront TMG 网 络 案例 
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整个 网 络 ， 划 分 了 12 个 网 段 ， 其 中 : 

将 400 台 计 算 机 ， 根 据 楼 层 、 部 门 的 不 同 ， 划 分 为 10 个 VLAN，VLAN 的 标记 从 VLAN11、 
VLAN12 一 VLAN20, 这 些 网 段 采 用 192.168.1.0/24、192.168.2.0/24、192.168.3.0/24 一 192.168.10.0/24 
的 地 址 , 网 关 地 址 是 每 个 网 段 的 最 后 一 个 地 址 , 例如 , 对 于 VLAN11, 其 网 关 地 址 是 192.168.1.254。 

所 有 的 服务 器 (Forefront TMG 除外 ) 使 用 一 个 网 段 ， 划 分 为 VLAN100， 该 网 段 采用 
192.168.100.0/24 的 地 址 ， 网 关 地 址 为 192.168.100.254。 

对 于 Forefront TMG， 专 门 使 用 一 个 网 段 ， 划 分 为 VLAN200， 该 网 段 采用 192.168.254.0/24 的 
地 址 ， 网 关 地 址 是 192.168.254.254。 设置 Forefront TMG 的 内 网 地 址 为 192.168.254.252/24， 则 需要 
在 “核心 交换 机 ”上 ， 添 加 指向 192.168.254.252 的 静态 路 由 ， 内 容 如 下 : 

vlan 200 

desc "moren wangguan" 

port e0/24 

inte vlan 200 

ip addr 192.168.254.254 255.255.255.0 

ip route-static 0.0.0.0 0.0.0.0 192.168.254.252 


在 上 面 的 设置 中 ， 设 置 端口 24 为 192.168.254.0 网 段 ， 设 置 默认 路 由 到 192.168.254.252。 
16.2.2 ”在 计算 机 上 添加 到 其 他 网 段 的 静态 路 由 
在 计算 机 上 添加 到 其 他 网 段 的 静态 路 由 ， 主 要 步骤 如 下 。 


0 在 将 要 安装 Forefront TMG 的 计算 机 上 安装 两 块 网 卡 : 一 块 网 卡 连接 Internet， 设 置 网 卡 
名 称 为 wan; 另 一 块 网 卡 连接 内 网 ， 设 置 网 卡 名 称 为 lan， 如 图 16-2 所 示 。 


文件 编 全 0 本 下 VI 工具 0 高 涩 00 帮助 00 
名 加 ”各 攀比 后 识 备 。 访 针 这 个 话 竺 。 量 合 名 化 活 衫 。 理 乔 此 这 挫 居 太 Ea 


图 16-2 重 命名 网 卡 


可 以 在 “控制 面板 一 网 络 和 共享 中 心 ”中 ， 通 过 单 击 “ 更 改 适配器 设置 ”， 打 开 “ 网 络 连接 ”页 。 


W023 将 连接 Internet 的 网 卡 , 设置 公 网 地 址 、 子 网 掩 码 并 设置 其 网 关 地 址 ( 在 本 示例 中 ， 这 个 
公 网 地 址 为 202.206.197.125, 子 网 掩 码 为 255.255.255.224, 网 关 地 址 为 202.206.197.97 ) , 如 图 16-3 
所 示 。 

i@ 引 设置 完 公 网 地 址 以 后 ， 进 入 “命令 提示 符 ”， 执 行 ping 命令 ， 测 试 到 网 关 的 连通 性 ， 如 
图 16-4 所 示 。 
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Pe 下 


图 16-3 设置 公 网 地 址 测试 网 络 连 通 性 


当 网 络 连通 之 后 ， 继 续 后 面 的 操作 。 


图 16-4 


i0 绚 将 连接 局 域 网 的 网 卡 , 设置 内 网 地 址 、 子 网 掩 码 。 在 本 例 中 , IP 地址 为 192.168.254.252、 
子 网 掩 码 为 255.255.255.0， 不 需要 设置 网 卡 地 址 ， 如 图 16-5 所 示 。 
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图 16-5 设置 内 网 地 址 


05) 为 了 让 192.168.254.252 可 以 访问 其 他 子 网 ,需要 在 命令 提示 符 中 添加 到 其 他 VLAN 的 静 
态 路 由 ， 其 命令 格式 如 下 : 


route -p 
route -Pp 
route Pp 
route Pp 
route Pp 
Ioute -Pp 
route -Pp 
route -pp 
route -pp 
Ioute Pp 
TIoute op 


0 


192.168.1.0 mask 
192.168.2.0 mask 
192.168.3.0 ”mask 
192.168.4.0 mask 
192.168.5.0 ”Imask 
192.168.6.0 mask 
192.168.7.0 mask 
192.168.8.0 ”Imask 
192.168.9.0 mask 
192.168.10.0 mask 
192.168.100.0 ”mask 


255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 
255.255.255.0 


255.255.255.0 
255.255.255.0 


06| 在 计算 机 上 运行 一 次 这 些 命令 即 可 ， 在 运行 之 


192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 
192.168.254.254 


192.168.254.254 
192.168.254.254 


后 ， 可 以 使 用 route print 命令 查看 添加 的 
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静态 路 由 ， 如 图 16-6 所 示 。 


图 16-6 添加 的 静态 路 由 


16.2.3 ”Forefront TMG 的 安装 


完成 上 面 的 配置 后 ， 接 下 来 开始 安装 Forefront TMG， 主 要 步骤 如 下 。 


0 和 检查 无 误 后 , 将 Forefront TMG 标准 版 安装 


的 安装 。 在 安装 程序 界面 中 ， 单 击 “运行 准备 工具 ” 


Forefront 
Threat Management Gateway xu 
We ere roe 
下 Raent 
二 es 
了 ED mean won 
入 
i 


光盘 放 入 光驱 中 , 开始 Forefront TMG 标准 版 
链接 ， 如 图 16-7 所 示 。 


图 16-7 安装 Forefront TMG 


.02 在 “欢迎 使 用 Microsoft Forefront Threat Management Gateway ( TMG ) 准备 工具 ”对 话 框 


中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 16-8 所 示 。 
03 在 “许可 协议 ”对 话 框 中 ， 选 中 “我 接受 


步 ” 按 钮 ， 如 图 16-9 所 示 。 
| 


次 迎 使 用 Microsoft Forefront Threat Management 
Gareway (TMG ) 淮 备 工具 


把 


Ei= 7 到 


许可 协议 中 的 条 款 ” 复 选 框 ， 然 后 单 击 “下 一 


tbl 


| 
A rr Hat, Rs rr step EE 


Teaan tp Es i 
i 


Pi 习 阳江 到 


图 16-8 ”准备 工具 
I04| 在 “安装 类 型 ”对 话 框 中 ， 选 中 “Forefront 


图 16-9 接受 许可 协议 
TMG 服务 和 管理 ” 单 选 按钮 ， 如 图 16-10 所 示 。 
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09 随后 , 准备 工具 将 在 计算 机 上 安装 必 备 的 组 件 , 这 需要 从 Microsoft 网 站 下 载 相关 的 软件 。 
所 以 这 时 候 ， 要 求 当 前 计算 机 能 访问 Intemet。 如 果 不 能 访问 Intemet， 准 备 工具 会 失败 退出 。 
to@ 如 果 一 切 正常 ， 大 约 几 分 钟 内 ， 准 备 工具 会 完成 ， 如 图 16-11 所 示 。 


16-10 ”安装 TMG 服务 和 管理 工具 图 16-11 准备 工具 完成 


0 到 在 运行 完 准备 工具 之 后 ， 会 进入 Foreffont TMG 的 安装 向 导 ， 如 图 16-12 所 示 。 
i08j 在 “许可 协议 ”对 话 框 中 ， 选 中 “我 接受 许可 协议 中 的 条 款 ” 单 选 按钮 ， 如 图 16-13 所 示 。 


TT ETEE3T 


16-12 ”Forefront TMG 安装 向 导 图 16-13 接受 许可 协议 

io9 在 “客户 信息 ”对 话 框 中 ， 输 入 用 户 名 、 单 位 名 称 和 Forefront TMG 产品 序列 号 ， 如 图 
16-14 所 示 。 

加 0 在 “安装 路 径 ” 对 话 框 中 ， 显 示 了 Forefront TMG 的 安装 路 径 ， 一 般 选 择 默认 值 即 可 ， 
如 图 16-15 所 示 。 


图 16-14 客户 信息 图 16-15 安装 路 径 


加 在 “定义 内 部 网 络 ” 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 在 打开 的 “地 址 ”对 话 框 中 单 击 “ 添 
加 适配器 ”按钮 ， 在 打开 的 “选择 网 络 适配器 ”对 话 框 中 ， 选 择 连接 内 部 局 域 网 的 网 卡 ， 在 之 前 已 
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经 将 这 个 网 卡 重 命名 为 “lan”， 选 中 这 个 网 卡 并 添加 ， 如 图 16-16 所 示 。 


图 16-16 选择 内 部 网 卡 


四 在 “地 址 ”对话 框 中 ， 检 查 当 前 局 域 网 内 所 有 的 子 网 地 址 是 否 已 经 添加 。 如 果 没有 ， 单 
击 “ 添 加 范围 ”按钮 ， 在 弹出 的 “IP 地 址 范围 属性 ”对 话 框 中 ， 输 入 未 添加 的 地 址 ， 然 后 单 击 “ 确 
定 ”按钮 返回 到 “地 址 ”对 话 框 ， 如 图 16-17 所 示 ， 单 击 “ 确 定 ”按钮 。 

四 在 “服务 警告 ”对 话 框 中 单 击 “下 一 步 ” 按 钮 。 

天 和 在 “为 安装 程序 做 好 准备 ”对 话 框 中 ， 单 击 “ 安 装 ”按钮 ， 如 图 16-18 所 示 。 


CI 有 EECTETTEETB 


图 16-17 内 部 网 络 地 址 范围 图 16-18 安装 


i 在 随后 的 过程 中 ,Forefront TMG 将 会 安装 ， 这 大 约会 持续 30min 左右 的 时 间 ， 请 耐心 等 
待 ， 如 图 16-19 所 示 。 
亨 罗 安装 完成 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-20 所 示 。 


图 16-19 正在 安装 图 16-20 ”安装 完成 
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16.3 ”Forefront TMG 入 门 向 导 
在 Forefront TMG 中 ， 新 增加 了 “入 门 向 导 ” 功 能 ， 可 以 让 用 户 进行 “网 络 设置 ”、“ 系 统 设 
置 ”， 定 义 常用 的 部 署 选项 。 接 下 来 将 介绍 这 些 功 能 。 
16.3.1 网络 设 置 向 导 
在 第 一 次 进入 Forefront TMG 管理 工具 时 ，Forefront TMG 入 门 向 导 会 自动 运行 ， 如 图 16-21 所 示 。 
0 在 “入 门 向 导 ” 对 话 框 中 ， 单 击 “ 配 置 网 络 设置 ”链接 ， 进 入 网 络 设置 对 话 框 。 


图 16-21 入 门 向 导 
WO3j 在 “网 络 模板 选择 ”对 话 框 中 ， 选 择 适合 的 网 络 拓扑 模板 ， 如 图 16-22 所 示 。 在 此 ， 选 

中 “边缘 防火 墙 ” 单 选 按钮 ， 这 是 最 常用 的 一 种 网 络 拓扑 。 
03 在 “局 域 网 (LAN ) 设置 ”对 话 框 中 ,选择 连接 到 LAN 的 网 络 适配器 ， 如 图 16-23 所 示 。 
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16-22 网络 模 板 选 择 


< 上 - 击 @)| ba 
16-23 ”选择 连接 到 局 域 网 的 网 卡 


在 此 设置 中 , 可 以 单 击 “ 添 加 ”按钮 ,添加 到 其 他 VLAN 的 静态 路 由 。 但 是 , 这 个 功能 有 点 小 问题 : 


如 果 已 经 在 “命令 提示 符 ” 中 使 用 route 命令 添加 了 静态 路 由 ， 就 不 需要 在 该 界面 中 添加 ， 否 则 会 在 “路 


由 表 ” 中 生成 重复 的 路 由 项 ; 当然 ， 如 果 没 有 使 用 route 命令 添加 ， 则 可 以 在 该 界面 中 添加 到 其 他 VLAN 
的 静态 路 由 。 
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i0 细 在 “Intemet 设置 ”对 话 框 中 ， 选 择 连 接 到 Intemet 的 网 络 适配器 ， 在 此 选择 名 为 “wan” 
的 网 卡 ， 如 图 16-24 所 示 。 
95 在 “正在 完成 网 络 安装 向 导 ” 对 话 框 中 ， 单 击 “完成 ”按钮 ， 如 图 16-25 所 示 .。 


图 16-24 选择 连接 到 Internet 的 网 卡 图 16-25 完成 网 络 安装 向 导 
16.3.2 ”系统 设置 向 导 
返回 到 “入 门 向 导 ” 对 话 框 ， 单 击 “ 配 置 系统 设置 ”链接 ， 如 图 16-26 所 示 。 


0 和 在 “主机 标识 ”对 话 框 中 ， 可 以 更 改 计算 机 名 称 或 者 将 计算 机 加 入 到 域 。 在 此 修改 计算 
机 的 名 称 为 TMG2010， 其 他 保持 不 变 ， 如 图 16-27 所 示 。 


入 门 - 大 


主机 标识 
为 比 Forefr snt TNG 计算 机 稍 入 标识 详细 这 息 * 


图 16-26 配置 系统 设置 16-27 更 改 计算 机 名 称 
更 改 完 计算 机 名 称 后 ，Forefront TMG 将 会 重新 启动 计算 机 。 
io3 再 次 进入 系统 后 ， 定 位 到 “开始 一 程序 一 所 有 程序 ”， 进 入 “Microsoft Forefront TMG” 
程序 组 ， 运 行 “Forefront TMG 管理 ”程序 。 再 次 进入 Forefront TMG 后 ， 在 “入 门 向 导 ” 中 单 击 


“配置 系统 设置 ”链接 ， 继 续 后 面 的 步骤 ， 如 图 16-28 所 示 。 
I03) 在 “正在 完成 系统 配置 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-29 所 示 。 
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图 16-28 主机 标识 图 16-29 完成 系统 配置 
16.3.3 ”部 署 选项 
返回 到 “入 门 向 导 ” 对 话 框 后 ， 单 击 “ 定 义 部 署 选 项 ”链接 ， 如 图 16-30 所 示 。 


0 在 “Microsoft Update 设置 ”对 话 框 中 ， 选 中 “使 用 Microsoft Update 服务 检查 更 新 ” 单 
选 按钮 ， 如 图 16-31 所 示 。 


图 16-30 部署 选项 16-31 ”使 用 Microsoft 更 新 服务 


9 在 “Forefront TMG 保护 功能 设置 ”对 话 框 中 ， 在 “网 络 检查 系统 ”选项 组 中 ， 在 “许可 
证 ”下 拉 列 表 中 选择 “激活 补丁 许可 证 并 启用 NIS” 选 项 ; 在 “Web 保护 ”选项 组 中 ， 在 “许可 证 ” 
下 拉 列 表 中 选择 “激活 评估 许可 证 并 启用 Web 保护 ”选项 ， 并 选中 “启用 恶意 软件 检查 ” 复 选 框 ， 
如 图 16-32 所 示 。 如 果 你 有 正式 的 许可 证 ， 也 可 以 在 此 输入 许可 证 编号 ; 也 可 以 在 Forefront TMG 
管理 控制 台中 ， 更 新 许可 证 编号 。 

io 在 “NIS 签名 更 新 设置 ”对 话 框 中 ， 选 择 默认 值 ， 如 图 16-33 所 示 。 

04 在 “客户 反馈 ”对 话 框 中 ， 根 据 实际 情况 ， 选 择 是 否 向 Microsoft 发 送 改善 计划 ， 如 
图 16-34 所 示 。 

05) 在 “Microsoft 遥测 报告 服务 ”对 话 框 中 ， 选 择 参与 级 别 ， 如 图 16-35 所 示 。 

t08j 在 “正在 完成 部 署 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-36 所 示 。 

朋友 返回 到 “入 门 向 导 ” 对 话 框 后 ， 选 中 “运行 Web 访问 向 导 ” 复 选 框 ， 单 击 “ 关 闭 ”按钮 ， 
如 图 16-37 所 示 。 
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图 16-34 客户 反馈 图 16-35 ”遥测 参与 级 别 
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16-36 ”部 署 向 导 16-37 ”完成 入 门 向 导 


16.3.4 ”Web 访问 向 导 


5 Ef mb i 90 


在 关闭 “入 门 向 导 ” 对 话 框 的 时 候 ， 如 果 选 中 “运行 Web 访问 向 导 ” 复 选 框 ， 则 进入 创建 
Web 访问 策略 向 导 页 ， 在 该 向 导 中 可 以 定义 “阻止 的 Web 访问 ”、“ 阻 止 的 URL 类别 和 Web 目 
标 ”、“ 亚 意 软件 检查 设置 ”、“HITPS 检查 设置 ”、“Web 缓存 设置 ”等 项 。 本 节 将 介绍 这 些 
内 容 ， 其 主要 步骤 如 下 。 


在 “欢迎 使 用 Web 访问 策略 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 16-38 所 示 。 
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i0g 在 “Web 访问 策略 规则 ”对 话 框 中 ， 选 中 “是 ， 创 建 规则 来 阻止 推荐 的 最 少 URL 类 别 ” 
单 选 按钮 ， 如 图 16-39 所 示 。 


J 
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图 16-38 Web 访问 策略 向 导 图 16-39 创建 规则 


四 3 在 “阻止 的 Web 目标 ”对 话 框 中 ， 选 择 要 阻止 的 目标 ， 一 般 情况 下 ， 选 择 默认 值 即 可 。 
如 果 要 排除 某 些 目标 ， 则 在 “阻止 对 下 列 Web 目标 的 访问 ”列表 框 中 ， 选 中 并 单 击 “ 删 除 ” 按 钮 。 
如 图 16-40 所 示 。 

ti 唤 在 “恶意 软件 检查 设置 ”对 话 框 中 ， 选 择 是 否 启用 恶意 软件 检查 。 在 此 选中 “是 ， 检 查 
从 Intemet 请 求 的 Web 内 容 ” 单 选 按钮 ， 如 图 16-41 所 示 。 


发 二 后 ， 村 要 从 frverre' 请 下 8 rr? 内 容 是 志和 记 软件 ， 如 


[TT 
图 16-40 阻止 的 Web 目标 图 16-41 启用 恶意 软件 检查 


05) 在 “HTTPS 检查 设置 ”对 话 框 中 ， 选 择 是 否 扫描 HTTPS 通信 。 一 般 情况 下 ， 不 要 检查 
HTTPS 通信 ， 且 不 验证 HTTPS 站 点 证 书 。 如 图 16-42 所 示 。 

iog 在 “Web 缓存 配置 ”对 话 框 中 ， 选 择 是 否 启 用 Web 缓存 规则 ， 如 果 要 启用 缓存 规则 ， 须 
单 击 “ 缓 存 驱 动 器 ”按钮 ， 设 置 缓 存 的 磁盘 及 缓存 大 小 ， 如 图 16-43 所 示 。 

0 在 “正在 完成 Web 访问 策略 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-44 所 示 ， 
Web 访问 策略 向 导 完 成 。 

ti 和 返回 到 Forefront TMG 管理 控制 台 后 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 。 如 果 在 图 16-45 
中 启用 了 缓存 ， 则 会 弹出 “Forefront TMG 警告 ”对 话 框 ， 在 此 选中 “保存 更 改 ， 并 重启 动 服务 ” 
单 选 按钮 ; 如 果 没 有 更 改 TMG 的 缓存 ， 则 不 会 出 现 该 警告 对 话 框 。 


Dh 
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有 
配 于 了 振 存 后 ， 须 繁 访问 的 #5 内 容 档 生 舍 在 轰 存 中 


图 16.44 Web 访问 策略 向 导 完成 ”图 16-45 保存 配置 让 设置 生效 


M09) 在 Forefront TMG 中 ,新 增加 了 “配置 更 改 描述 ”选项 ,每 次 更 改 配置 之 前 , 会 弹出 “ 配 
置 更 改 描述 ”对 话 框 ， 可 以 在 “更 改 描述 ”文本 框 中 写 明 更 改 TMG 的 原因 与 情况 ， 以 备 以 后 检查 ， 


国 oresaaaaramaaasas 
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图 16-46 配置 更 改 描 述 


此 时 ， 局 域 网 中 的 其 他 计算 机 ， 就 可 以 通过 Forefront TMG 正常 上 网 。 接 下 来 ， 介 绍 Forefront 
TMG 更 加 详细 的 配置 。 


516.. 
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16.3.5 ”Forefront TMG 控制 台 界面 


为 了 让 大 家 对 Forefront TMG 有 一 个 总 体 的 认识 , 本 文 简单 介绍 Forefront TMG 的 控制 台 界面 。 
Microsoft Forefront Threat Management 2010 的 控制 台 界面 如 图 16-47 所 示 。 


EEC ET | 
四 只 | 


16-47 ”Forefront TMG 控制 台 界面 


Forefront TMG 分 左 、 中 、 右 侧 3 个 窗 格 , 在 左 侧 窗 格 中 ,显示 了 各 个 功能 的 选项 , 这 包括 “ 仪 
表 板 、 监 视 、 防 火 墙 策略 、Web 访问 策略 、 电 子 邮件 策略 、 入 侵 防 御 系统 、 远 程 访 问 策略 (VPN) 、 
网 络 连接 、 系 统 、 日 志和 报告 、 更 新 中 心 、 疑 难 解答 ” 12 大 部 分 在 中 侧 窗 格 ， 包 括 两 个 部 分 ， 
其 中 左边 部 分 显示 了 每 项 的 具体 内 容 ， 右 边 部 分 显示 了 当前 项 的 主要 操作 、 任 务 等 ， 而 右 侧 窗 格 ， 
默认 没有 显示 ， 主 要 显示 “操作 ”等 内 容 ， 在 Forefront TMG 中 ， 用 处 不 大 。 在 任何 时 候 ， 都 可 以 
通过 Forefront TMG“ 工 具 栏 ”上 的 “ 辐 ”或 “ 国 ” 按 钮 打开 (显示 ) 或 关闭 (隐藏 、 左 侧 或 右 
侧 窗 格 。 另 外 ， 如 果 网 络 中 有 多 台 Forefront TMG 服务 器 并 且 加 入 到 同一 陈列 中 ， 可 以 在 左 侧 窗 格 
中 “Microsoft Forefront Threat Management Gateway ”下面 显示 ,在 本 例 中 , 只 有 1 台 Forefront TMG， 
所 以 会 显示 “Forefront TMG (TMG2010) ”， 其 中 Forefront TMG 是 当前 的 计算 机 名 称 。 


16.4 防火 墙 策略 


在 Forefront TMG 的 “防火 墙 策略 ”中 ,可 以 通过 定义 防火 墙 规则 ， 多 许 或 拒绝 对 所 连接 网 络 、 
网 站 和 服务 器 的 访问 ， 从 而 保护 网 络 。 总 体 来 说 ,在 “防火 墙 策略 ” 中, 创建 的 规则 主要 分 为 三 种 : 


@ 访问 规则 : 允许 从 “ 源 网 络 : (通常 为 本 地 主机 、 内 部 ) ”到 “目的 网 络 (通常 为 外 部 、 外 
围 、 内 部 、 本 地 主机 ”的 访问 。 通 常情 况 下 ， 在 访问 规则 中 创建 的 都 是 出 站 访问 ， 即 从 内 
部 计算 机 到 Internet 的 访问 。 

@ Web 发 布 规则 : 控制 对 已 发 布 的 Web 服务 器 的 入 站 访问 。 

e@ ”服务 器 发 布 规则 : 控制 对 已 发 布 的 非 Web 服务 器 的 入 站 访问 。 


另外 ， 与 “防火 墙 策略 ”相对 应 的 ， 还 有 Forefront TMG 的 “系统 策略 ”。 所 谓 系统 策略 ， 是 
控制 进出 “本 地 主机 网 络 (Forefront TMG 服务 器 ) ”的 通信 ， 以 允许 Forefront TMG 通过 必需 的 
通信 和 协议 执行 身份 验证 、 享 有 域 成 员 身份 、 执 行 网 络 诊断 、 日 志 记 录 和 远程 管理 。 
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有 关 Forefront TMG 的 防火 墙 策略 所 需要 的 基础 知识 ， 可 参见 “16.2 Forefront TMG 基础 知识 ”一 
节 内 容 。 


16.4.1 防火墙 策略 基础 


在 创建 或 配置 防火 墙 策 略 后 ， 可 以 在 Forefront TMG 的 “防火 墙 策 略 一 所 有 防火 墙 策 略 ”中 ， 
显示 已 经 创建 的 防火 墙 策略 与 规则 ， 如 图 16-48 所 示 。 


Ne RE Em hn 


16-48 ”防火 墙 策略 


在 图 16-48 中 , 显示 的 访问 规则 是 在 运行 Forefront TMG 的 入 门 向 导 时 创建 的 , 这 些 规则 如 下 : 

(1) 第 1 条 策略 ， 策 略 的 名 称 是 “阻止 的 web 目标 ”， 作 用 是 “拒绝 ”“ 内 部 ”网 络 “ 所 有 
用 户 ” 到 “暴力 、 仇 恨 / 歧 视 、 毒 品 、 赌 博 、 恶 意 、 犯 罪 活 动 、 仿 冒 网 站 、 间 谍 软 件 、 僵 尸 、 匿 名 ” 
这 些 网 站 的 Web 访问 。 

(2) 第 2 条 策略 ， 策 略 的 名 称 是 “允许 所 有 用 户 访问 Web”， 作 用 是 “允许 ” “内 部 ”网 络 
“所 有 用 户 ” 到 “外 部 ”所 有 网 站 的 Web 访问 。 

要 学 会 或 精通 Forefront TMG， 必 须要 理解 策略 的 意义 ， 这 些 包 括 : 

(1) 每 条 策略 ， 包 括 上 顺序、 名称、 操作、 协议、 从、 到 、 用 户 、 计 划 、 内 容 类 型 等 项 。 如 果 
是 Web 访问 策略 ， 还 会 包括 “恶意 软件 检查 ”项 。 在 Forefront TMG 的 “防火 墙 策略 ”中 ， 用 鼠 
标 双击 一 条 已 经 创建 的 策略 ， 可 以 看 到 这 些 项 ， 如 图 16-49 所 示 。 
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图 16-49 策略 
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(2) 策略 匹配 。 所 谓 策 略 的 匹配 ， 要 符合 策略 中 除 “常规 (包括 策略 的 名 称 、 描 述 项 等 ) ”、 
“操作 ”以 外 的 所 有 条 件 〈 协 议 、 从 、 到 、 用 户 、 计 划 、 内 容 类 型 ) 全 部 同时 满足 时 ， 才 叫 策略 
匹配 。 


在 Forefront TMG 的 策略 中 , “计划 ” 指 的 是 时 间 对 象 。 在 Forefront TMG 所 保护 ( 控制 ) 的 网 络 中 ， 


计划 的 时 间 是 以 Forefront TMG 计算 机 为 基准 ,并 不 以 用 户 的 时 间 为 准 。 如 果 Forefront TMG 加 入 到 Active 
Directory 中 ， 则 以 Active Directory 中 第 一 全 域 控制 器 的 时 间 为 准 。 


(3) 策略 顺序 。 策 略 是 有 顺序 的 ， 并 且 从 上 到 下 根据 序号 ， 从 小 到 大 〉 进行 查找 匹配 ， 并 
且 ， 在 找到 第 一 条 匹配 的 策略 时 ， 根 据 “ 策 略 匹 配 ” 中 指定 的 “操作 (允许 或 拒绝 ) ”进行 控制 ， 
Forefront TMG 将 不 再 向 下 查找 。 如 果 查 找 完 所 有 策略 ， 找 不 到 相 匹 配 的 策略 时 ，Forefront TMG 将 
会 “拒绝 ”这 种 行为 。 

例如 ， 在 上 面 的 两 条 策略 中 ， 如 果 将 “人 允许 所 有 用 户 访 问 Web” 策 略 移 到 “阻止 的 Web 目标 ” 
策略 前 ， 那 么 ， 所 有 用 户 将 能 够 访问 所 有 的 网 站 ,包括 “上 暴力、 仇恨/ 歧视 、 毒 品 、 赌 博 、 恶 意 、 
犯罪 活动 、 仿 冒 网 站 、 间 谍 软 件 、 僵 尸 、 匿 名 ”这 些 网 站 ， 这 样 就 与 我 们 的 规则 不 相符 合 了 。 

(4) 可 以 改变 策略 顺序 。Forefront TMG 中 的 策略 顺序 并 不 是 一 成 不 变 的 , 管理 员 可 以 根据 
需要 ， 选 择 其 中 的 一 条 或 多 条 策略 ， 通 过 单 击 工具 栏 上 的 “1 ”或 “上 ”按钮 进行 向 上 或 向 下 的 
调整 。 


(5) 可 以 启用 或 停 用 策略 。 管 理 员 可 以 根据 需要 ， 停 用 某 条 或 多 条 策略 ; 并 且 可 以 根据 需要 ， 
再 次 启用 这 些 或 某 条 策略 。 

(6) 对 于 不 需要 的 策略 , 可 以 根据 需要 删除 。 策 略 也 可 以 复制 、 粘 贴 、 修 改 。 在 Forefront TMG 
中 ， 可 以 将 多 条 策略 进行 “组 合 ” 以 及 “取消 组 合 ”。 

在 理解 了 Forefront TMG 策略 的 意义 后 ， 就 可 以 更 容易 地 根据 企业 的 需求 ， 创 建 适合 自己 的 策 
略 。 接 下 来 将 介绍 在 Forefront TMG 中 ， 访 问 规则 的 创建 、 修 改 、 删 除 、 组 合 等 内 容 。 


16.4.2 ”通过 案例 介绍 访问 规则 与 服务 器 发 布 规则 


在 使 用 Forefront TMG 创建 访问 规则 之 前 ， 需 要 对 Forefront TMG 保护 的 网 络 进行 规划 ， 并 且 
根据 规划 的 内 容 按照 顺序 创建 规则 。 

事实 表明 ， 没 有 任何 两 个 网 络 会 完全 一 致 。 同 样 ， 即 使 网 络 拓扑 完全 相同 的 网 络 ， 其 网 络 规 
则 也 不 会 完全 一 致 。 但 是 ， 对 于 初学 者 来 说 ， 参 考 他 人 的 规则 ， 并 且 根据 自己 所 管理 的 网 络 进行 适 
当 的 调整 ， 是 最 快 掌握 Forefront TMG 的 方法 。 在 本 节 中 ， 将 通过 一 个 具体 的 案例 ， 介 绍 网 络 的 规 
划 与 防火 墙 策略 的 创建 。 

在 图 16-50 中 ，Forefront TMG 保护 的 网 络 划分 为 12 个 VLAN， 其 中 VLAN11 (IP 地 址 段 为 
192.168.1.0/24) 、VLAN12 (IP 地 址 段 为 192.168.2.0/24) 并 依次 类 推 ， 直 到 VLAN20 (IP 地 址 段 
为 192.168.10.0/24) 这 10 个 网 段 ,被 工作 站 使 用 ; VLAN100 (IP 地 址 段 为 192.168.100.0/24) 被 服 
务 器 所 使 用 ; VLAN200 (IP 地 址 段 为 192.168.254.0/24) 被 TMG2010 服务 器 “内 网 网 卡 ” 所 使 用 。 
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连接 到 Internet 展 


16-50 ”网 络 示例 
在 这 些 网 段 中 ， 需 要 注意 的 是 : 


e VLAN100 是 服务 器 工作 的 网 段 ， 其 中 服务 器 1、 服 务 器 2 (IP 地 址 分 别 是 192.168.100.10 
与 192.168.100.11 ) 分 别 是 电子 邮件 服务 器 、 杀 毒 软件 与 WSUS 升级 服务 器 ， 这 两 台 服 务 
器 需要 能 够 访问 Intemet; 服务 器 3 (JP 地址 是 192.168.100.20 ) 是 网 站 与 FIP 服务 器 ， 供 
内 网 用 户 访问 ， 同 时 也 将 这 个 网 站 发 布 到 Internet， 供 Internet 用 户 访问 ， 但 服务 器 3 不 需 
要 访问 Internet。 

e@ VLAN16 网 段 是 重点 部 门 网 段 ， 安 全 性 要 高 。 只 允许 周一 到 周 五 的 每 天 上 午 8:00~11:00 上 
网 ， 在 上 网 时 段 不 允许 以 FTP 协议 向 外 上 传 文件 ; 其 他 时 间 不 允许 上 网 。 

e@ VLAN18 网 段 是 领导 等 部 门 网 段 ， 在 任何 时 间 都 不 要 进行 限制 。 

@ 其 他 网 段 (VLAN11 ~ VLAN15、VLAN17、VLAN19、VLAN20 ) ， 在 周一 到 周 五 的 上 午 
8:00 ~ 12:00、 下 午 14:00 ~ 17:00， 只 允许 访问 网 站 、 收 发 邮件 。 在 此 之 外 的 其 他 时 间 ， 则 
不 做 限制 。 


基于 上 述 这 些 要 求 ， 我 们 规划 的 策略 如 下 : 

(1) 创建 访问 规则 1: 允许 VLAN18 (192.168.8.0/24) 以 “所 有 协议 ”访问 “外 部 ”。 

(2) 创建 访问 规则 2: 允许 VLAN16 (192.168.6.0/24) 以 “HTTP、FTP 协议 ”在 周一 到 周 五 
的 上 午 8:00 一 11:00 访问 “外 部 ”。 

(3) 创建 访问 规则 3: 允许 服务 器 1 (192.168.100.10) 以 “HTTP 协议 、POP3、SMTP 协议 ” 
访问 “外 部 ”。 


@ ”创建 服务 器 发 布 规则 1: 发 布 电子 邮件 服务 器 到 192.168.100.10。 
@ 创建 服务 器 发 布 规则 2: 发 布 Web 服务 器 到 192.168.100.10， 域 名 为 mail.msft.com (假设 
该 邮件 服务 器 对 外 提供 的 域名 是 mail.msft.com ) 。 


(4) 创建 访问 规则 4: 允许 服务 器 2 (192.168.100.11) 以 “HTTP 协议 ”访问 “外 部 ”。 
(5) 创建 访问 规则 5: 拒绝 服务 器 3 (192.168.100.20) 以 “任何 协议 ”访问 “外 部 ” 
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@ 创建 服务 器 发 布 规则 3: 发 布 Web 服务 器 到 192.168.100.20， 域 名 为 www.msft.com.。 
@ 创建 服务 器 发 布 规则 4: 发 布 FTP 服务 器 到 192.168.100.20。 


(6) 创建 访问 规则 6: 允许 其 他 网 段 在 周一 到 周 五 的 8:00 一 11:00、14:00 一 17:00， 以 “HTTP、 
FTP、SMTP 与 POP3 协议 ”访问 “外 部 ”， 在 其 他 时 间 以 “所 有 协议 ”访问 “外 部 ”。 


1. 访问 规则 1 的 创建 


接 下 来 ,我 们 创建 访问 规则 。 在 创建 访问 规则 之 前 ， 先 检查 Foreffont TMG 已 经 创建 的 访问 策 
略 〈 参 看 图 16-48)， 在 运行 Forefront TMG 的 Web 访问 向 导 之 后 ， 创 建 了 两 条 策略 : 其 中 第 1 条 
是 “阻止 的 Web 目标 ” 这 条 策略 的 目的 是 拒绝 “内 部 ”到 “暴力 、 仇 恨 ” 等 这 些 站 点 的 访问 。 另 
1 条 是 “允许 所 有 用 户 访问 Web”, 这 条 策略 的 目的 是 允许 “内 部 ”到 “外 部 ”以 HTTP 协议 与 HTTPS 
协议 访问 。 那 么 ， 我 们 在 创建 访问 规则 时 ， 如 果 不 想 使 用 这 些 策略 ， 可 以 删除 或 停 用 这 2 条 策略 。 
或 者 ， 可 根据 需要 ， 修 改 保留 其 中 的 策略 。 在 本 例 中， 我 们 保留 第 1 条 策略 (阻止 的 Web 目标 )， 
并 且 将 这 条 策略 保持 在 所 有 策略 的 前 面 。 而 在 当前 的 第 2 条 策略 与 第 1 条 策略 之 间 , 插入 我 们 新 创 
建 的 策略 。 我 们 首先 介绍 前 文 规划 的 访问 规则 1 的 创建 步骤 。 


WO 在 Forefront TMG 的 “防火 墙 策略 ”中 ， 先 用 鼠标 选中 第 2 条 策略 ， 然 后 用 鼠标 右 击 “ 防 
火 墙 策略 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 一 访问 规则 ”， 如 图 16-51 所 示 。 这 时 创建 的 访问 
规则 将 会 “ 插 在 ”当前 第 1、2 条 策略 之 后 。 以 后 创建 策略 的 时 候 ， 如 果 是 插 在 当前 策略 之 后 ， 应 
该 是 选中 当前 策略 之 后 的 下 一 条 策略 ， 然 后 再 次 选择 创建 。 


Ee 


图 16-51 创建 访问 规则 

92 在 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 中 ， 在 “访问 规则 名 称 ” 文 本 框 中 ， 输 入 当前 
创建 的 规则 的 名 称 ， 在 此 设置 为 “允许 VLAN18 访问 外 部 ”， 如 图 16-52 所 示 。 当 然 ， 也 可 以 设 
置 其 他 有 意义 的 名 称 。 

03) 在 “规则 操作 ”对 话 框 中 ， 选 中 “允许 ” 单 选 按钮 ， 如 图 16-53 所 示 。 

to 刍 在 “协议 ”对 话 框 中 ， 在 “此 规则 应 用 到 ”下 拉 列 表 中 ， 选 择 “所 有 出 站 通信 ”选项 ， 
如 图 16-54 所 示 。 

5) 在 “恶意 软件 检查 ”对 话 框 中 ， 选 中 “不 对 该 规则 启用 恶意 软件 检查 ” 单 选 按钮 ， 如 
图 16-55 所 示 。 
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16-53 ”规则 操作 


16-54 协议 图 16-55 恶意 软件 检查 


to@j 在 “访问 规则 源 ” 对 话 框 中 ， 选 择 源 地 址 ( 网 络 或 计算 机 ) ， 因 为 VLAN18 所 包含 的 地 
址 范围 ， 在 Forefront TMG 中 没有 定义 ， 所 以 需要 创建 一 个 。 在 此 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 
在 弹出 的 “添加 网 络 实体 ”对 话 框 中 ， 单 击 “新 建 ”按钮 ， 在 弹出 的 菜单 中 选择 “ 子 网 ”命令 ， 在 
弹出 的 “新 建 子 网 规则 元 素 ”对话 框 中 ， 设 置 创建 的 网 络 规则 名 称 ， 在 本 例 中 为 VLAN18， 然 后 
在 “网 络 地 址 ”文本 框 中 输入 创建 的 网 络 的 地 址 ， 在 本 例 中 是 192.168.8.0， 然 后 输入 对 应 的 子 网 掩 
码 255.255.255.0， 也 可 以 输入 子 网 掩 码 位 数 (24 位 ) ， 如 图 16-56 所 示 。 


图 16-56 添加 子 网 


创建 完成 后 ， 单 击 “ 确 定 ” 按 钮 返回 到 “添加 网 络 实体 ”对 话 框 ， 然 后 在 “ 子 网 ”选中 新 创 
建 的 子 网 名 称 ， 单 击 “ 添 加 ”按钮 添加 到 “访问 规则 源 ” 中 ， 如 图 16-57 所 示 。 


AL 
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图 16-57 添加 访问 规则 源 


在 “添加 网 络 实体 ”中 ， 可 以 创建 多 个 实体 ,这 些 实体 可 以 是 一 台 计 算 机 ( 一 个 瑟 地 址 ) ,可 以 是 


一 组 计算 机 ( 一 个 网 段 或 一 段 指定 的 他 地 址 ) ， 也 可 以 是 包括 域名 的 计算 机 等 ， 或 者 是 这 些 的 组 合 。 
外 ， 在 “访问 规则 源 ” 中 ， 可 以 添加 多 个 “ 源 ”。 


到 在 “访问 规则 目标 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “添加 网 络 实体 ”对 话 杠 
中 ， 从 “网 络 ” 列 表 中 选中 “外 部 ”进行 添加 ， 如 图 16-58 所 示 。 


ETT -EEE 划 
Er 
rr 
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图 16-58 ”访问 规则 目标 


EE 


在 “访问 规则 目标 ”对 话 框 中 ， 可 以 添加 多 个 实体 。 


tQ8j 在 “用 户 集 ” 对 话 框 中 ， 选 择 默认 值 ， 在 此 是 “所 有 用 户 ”， 如 图 16-59 所 示 。 


周 户 时 
全 etme 全 有 有 下 或 训 避 人 让 有 记 


bi ，R 
16-59 ”用 户 集 


第 4 篇 高 级 与 综合 网 络 应 用 


一 只 有 Forefront TMG 和 网 络 中 的 计算 机 都 加 入 到 Active Directory， 并 且 使 用 “防火 墙 客户 端 ”时 ， 
此 项 才 有 实际 意义 。 一 般 情 况 下 ， 选 择 默认 值 “所 有 用 户 。 即 可 。 


to9j 在 “正在 完成 新 建 访问 规则 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 完 成 规则 的 创建 。 
2. 访问 规则 2 的 创建 


访问 规则 2 的 内 容 是 : 允许 VLAN16 (192.168.6.0/24) 以 “HTTP、FTP 协议 ”在 周一 到 周 五 
的 上 午 8:00 一 11:00 访问 “外 部 ”。 

访问 规则 2 与 访问 规则 1 类 似 , 只 是 多 了 一 个 “计划 ”时 间 范 围 : 周一 到 周 五 的 8:00 一 11:00”。 
接 下 来 介绍 这 个 规则 的 创建 。 


to 出 定位 到 上 次 创建 的 规则 的 下 一 条 规则 ， 用 鼠标 右 击 “防火 墙 策略 ”， 选 择 “新 建 ~ 访 问 


规则 ”命令 ， 如 图 16-60 所 示 。 
I02 设置 访问 规则 名 称 为 “VLAN16 访问 规则 ”， 如 图 16-61 所 示 。 


欢 询 使 用 新 寻访 问 规则 向 导 
a 


Wane 
a 
Wk, He 


图 16-60 新 建 访问 规则 图 16-61 访问 规则 名 称 
to3 在 “规则 操作 ”对 话 框 中 选择 “允许 ”。 
I0 旨 在 “协议 ”对 话 框 中 ， 选 择 “FTP、HTTP、HTTPS”， 如 图 16-62 所 示 。 
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图 16-62 协议 选择 
I05) 在 “访问 规则 源 ” 对 话 框 中 ,创建 VLAN16 ( 卫 地址 段 为 192.168.6.0/24 ) 的 地 址 段 ， 并 
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添加 到 访问 规则 源 中 ， 如 图 16-63 所 示 。 
| 


访问 规 罗 天 
此 吉 则 将 应 用 于 来 自 此 页 指 宝 苦 的 通讯 


此 规则 应用 于 亲自 这 些 大 的 通讯 - 
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图 16-63 访问 规则 源 

06j 其 他 操作 与 访问 规则 1 相同 ， 不 再 介绍 。 

创建 完 “VLAN16 访问 规则 ”后 ， 返 回 到 Forefront TMG 控制 台 ， 然 后 用 鼠标 双击 这 条 规则 ， 
进行 下 面 的 操作 。 

0 在 “VLAN16 访问 规则 属性 ”对 话 框 中 的 “计划 ”选项 卡 中 ， 可 以 看 到 默认 计划 的 时 间 
是 “总 是 ”， 并 且 在 图 示 中 看 到 标明 的 是 所 有 的 时 间 。 单 击 “ 新 建 ”按钮 ， 创 建 我 们 所 规划 的 时 间 。 
在 弹出 的 “新 建 计划 ”对 话 框 中 ， 设 置 名 称 为 “ 周 1-5 上 午 8-11 点 ”， 然 后 选中 星期 一 到 星期 五 
的 8:00 ~ 11:00 的 范围 为 “活动 ”， 如 图 16-64 所 示 。 


RR 和 了 


箭 定 聊 清 oa) 
图 16-64 添加 新 计划 


可 以 先 单 击 “ 非 活动 ” 单 选 按钮 以 取消 所 有 时 间 ， 然 后 用 鼠标 左 键 单 击 选中 需要 的 时 间 段 ( 按 住 鼠 
标 左 键 移动 选取 ) ， 然 后 再 单 击 “ 活 动 ” 单 选 按钮 即 可 选中 。 


W922 选中 之 后 ， 在 “计划 ”下 拉 列 表 中 选择 创建 的 “ 周 1-5 上 午 8-11 点 ”， 然 后 单 击 “ 确 定 ” 
按钮 即 可 ， 如 图 16-65 所 示 。 
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16-65 选择 计划 


3. 访问 规则 3 的 创建 


创建 访问 规则 3“ 人 允许 服务 器 1 (192.168.100.10) 以 HTTP 协议 、 POP3、SMTP 协议 访问 外 部 ”， 
这 条 规则 的 创建 ， 与 创建 访问 规则 1 非常 类 似 ， 只 有 以 下 几 点 不 同 。 


0 和 在 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 中 ,设置 访问 规则 名 称 为 “允许 服务 器 1 以 HTTP、 
POP3、SMTP 协议 访问 外 部 ”， 如 图 16-66 所 示 。 
io 到 在 “协议 ”对 话 框 中 ， 选 中 “HTTP、POP3、SMTP”， 如 图 16-67 所 示 。 


图 16-66 访问 规则 名 称 图 16-67 协议 选择 


03) 在 “添加 网 络 实体 ”对 话 框 中 ， 选择“ 新 建 一 计算 机 ”命令 (如 图 16-68 所 示 ) 。 在 “新 
建 计算 机 规则 元 素 ” 对 话 框 中 ， 设 置 名 称 为 “服务 器 1”、 卫 地 址 为 192.168.100.10， 如 图 16-69 
所 示 。 


Fe ee mm | we | 


[这 |] 取消 | 
16-68 新建 计 算 机 图 16-69 计算 机 名 称 与 卫 地 址 
四 4 然后 在 “访问 规则 源 ” 对 话 框 中 ， 添 加 “服务 器 1”， 如 图 16-70 所 示 。 
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访问 题 风 得 
此 吉 R 二 用 天 自 此 省 带 训 ， 


图 16-70 访问 规则 源 
4. 电子 邮件 服务 器 发 布 规则 的 创建 
接 下 来 创建 服务 器 发 布 规则 1: 发 布 电子 邮件 服务 器 到 192.168.100.10。 


i0 凤 在 Forefront TMG 控制 台中 ， 右 击 “ 防 火 墙 策 略 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 一 
邮件 服务 器 发 布 规则 ”命令 ， 如 图 16-71 所 示 。 

02) 在 “欢迎 使 用 新 建 邮件 服务 器 发 布 规则 向 导 ” 对 话 框 中 ， 设 置 发 布 规则 的 名 称 为 “发 布 
邮件 服务 器 到 192.168.100.10”， 如 图 16-72 所 示 。 


欢迎 使 用 新 建 邮 件 服务 补 发 布 规则 向 导 


16-71 新 建 邮件 服务 器 发 布 规则 图 16-72 设置 发 布 规则 名 称 
to3j 在 “选择 访问 类 型 ”对 话 框 中 ， 选 中 “客户 端 访问 : RPC、IMAP、POP3、SMTP” 单 选 
按钮 ， 如 图 16-73 所 示 . 


16-73 


0 在 “客户 端 访问 ”对 话 框 中 ， 选 中 “POP3” 与 “SMTP” 复 选 框 ， 如 图 16-74 所 示 。 如 


ys 
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果 邮 件 服务 器 还 有 其 他 协议 ， 例 如 安全 POP3、 安 全 SMTP， 或 IMAP4 等 ， 可 根据 需要 选择 。 
i@ 鲁 在 “选择 服务 器 ”对 话 框 中 ， 指 定 要 发 布 的 服务 器 的 地 址 ， 本 例 为 192.168.100.10， 如 图 
16-75 所 示 。 


图 16-74 选择 协议 图 16-75 ”指定 要 发 布 的 服务 器 的 地 址 


06) 在 “网 络 侦 听 器 他 地 址 ”对 话 框 中 ， 选 中 “外 部 ” 复 选 框 ， 如 图 16-76 所 示 。 
胃 在 “正在 完成 新 建 邮件 服务 器 发 布 规则 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-77 
所 示 。 
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16-76 ”选择 网 络 侦 听 器 16-77 ”完成 邮件 服务 器 发 布 规则 
5. 发 布 Web 服务 器 到 192.168.100.10 


创建 服务 器 发 布 规则 2: 发 布 Web 服务 器 到 192.168.100.10， 域 名 为 mail.msft.com (假设 该 邮 


件 服务 器 对 外 提供 的 域名 是 mail.msft.com) 。 
在 创建 Web 服务 器 发 布 规则 时 ， 需 要 使 用 “Web 侦 听 器 ”， 如 果 没有 Web 侦 听 器 ， 可 以 在 创 


建 规则 的 过 程 中 创建 ， 也 可 以 提前 创建 。 创 建 的 Web 侦 听 器 ， 可 以 发 布 多 个 Web 服务 器 。 


四 在 Forefront TMG 控制 台中 ， 右 击 “ 防 火 墙 策略 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 一 
网 站 发 布 规则 ”命令 ， 如 图 16-78 所 示 。 

四 有 在 “欢迎 使 用 新 建 Web 发 布 规则 向 导 ” 对 话 框 中 ， 在 “Web 发 布 规则 名 称 ” 文 本 框 中 ， 
输入 这 次 创建 的 规则 的 名 称 ， 在 本 例 中 为 “发 布 maiLmsftcom 到 192.168.100.10”， 如 图 16-79 
所 示 。 
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图 16-78 创建 网 站 发 布 规则 图 16-79 设置 发 布 规则 名 称 
四 3 在 “请 选择 规则 操作 ”对 话 框 中 ， 选 中 “允许 ” 单 选 按钮 ， 如 图 16-80 所 示 。 
t@ 绚 在 “发 布 类 型 ”对 话 框 中 ， 选 中 “发 布 单个 网 站 或 负载 平衡 器 ” 单 选 按钮 ， 如 图 16-81 
所 示 。 


16-80 允许 16-81 ”发布 类 型 


5) 在 “服务 器 连接 安全 ”对 话 框 中 ， 选 中 “使 用 不 安全 的 连接 连接 发 布 的 Web 服务 器 或 服 
务 器 场 ” 单 选 按钮 ， 如 图 16-82 所 示 。 

iogj 在 “内 部 发 布 详细 信息 ”对 话 框 中 ， 设 置 “ 内 部 站 点 名 称 ”， 并 且 选 中 “使 用 计算 机 名 
称 或 卫 地址 连接 到 发 布 的 服务 器 ” 复 选 框 ， 并 在 “计算 机 名 称 或 全 地 址 ”文本 框 中 ， 输 入 当前 要 
发 布 的 服务 器 的 地 址 ， 本 例 为 192.168.100.10， 如 图 16-83 所 示 。 


Terma| wee 


16-82 ”服务 器 连接 安全 16-83 ”指定 要 发 布 的 服务 器 的 他 地址 
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四 本 在 “内 部 发 布 详细 信息 ”对 话 框 中 ， 在 “路 径 ( 可 选 ) ”文本 框 中 输入 “/*”， 如 图 16-84 
所 示 。 


如 果 要 将 同一 台 计 算 机 的 多 个 Web 服务 器 发 布 到 Intemet， 则 需要 选中 “转发 原始 主机 头 而 不 是 前 


一 页 的 内 部 站 点 名 称 字 段 中 指定 的 实际 主机 头 ” 复 选 框 ， 并 且 在 发 布 的 Web 服务 器 中 , 使 用 “主机 头 名 ” 
的 方式 创建 网 站 。 


8j 在 “公共 名 称 细节 ”对 话 框 中 ， 在 “接受 请 求 ” 下 拉 列 表 中 选择 “此 域名 ( 在 以 下 输入 ) ” 
选项 ， 然 后 在 “公用 名 称 ” 文 本 框 中 输入 本 次 发 布 的 域名 “mail.msft.com”， 如 图 16-85 所 示 。 
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I A 人 aron P 机 ) 的、 这 和 IEKWia 的 了 地 
A Co ME ——— 
2 亏 i 
Sa 过 


厂 病原 站 主机 尖 而 不 基 二 页 的 内 下 点 有 天 让 后卫 二 杖 天 由 对 = 
理 于 他 9 寺 符 发 这 员外 而 来 入 员 洒 面 ) 特 衬 本 


图 16-84 发 布 路 径 图 16-85 ”指定 要 发 布 的 域名 


如 果 的 网 络 中 只 有 一 台 Web 服务 器 ， 并 且 这 合 服务 器 上 具有 多 个 网 站 ， 可 以 在 “接受 请 求 ” 下 拉 列 
表 中 选择 “所 有 请 求 ”选项 。 


09j 在 “选择 Web 侦 听 器 ”对 话 框 中 ， 选 择 要 使 用 的 Web 侦 听 器 。 因 为 这 是 一 台新 安装 的 
Forefront TMG， 还 没有 侦 听 器 ， 所 以 需要 先 创建 一 个 。 单 击 “ 新 建 ”按钮 ， 进 入 “新 建 Web 侦 听 
器 向 导 ” 对 话 框 ， 在 “Web 侦 听 器 名 称 ” 文 本 框 中 ， 输 入 新 建 的 Web 侦 听 器 的 名 称 ， 本 例 为 “Web 
Detect” ， 如 图 16-86 所 示 。 

因 0 在 “客户 端 连接 安全 设置 ”对 话 框 中 ， 选 中 “不 需要 与 客户 端 建立 SSL 安全 连接 ” 单 选 
按钮 ， 如 图 16-87 所 示 。 


坎 迎 使 用 新 斑 Wab 个 听 器 向 导 尖 Ha 


se 三 RE 二 和 


ST Me rmt 
3 
ee 和 
16-86 指定 Web 侦 听 器 名 称 16-87 “客户 端 连接 安全 设置 
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加 是 在 “Web 侦 听 器 下 地 址 ”对 话 框 中 ， 选 中 “外 部 ” 复 选 框 ， 如 图 16-88 所 示 。 
四 在 “身份 验证 设置 ”对 话 框 中 ， 选 择 “ 没 有 身份 验证 ”选项 ， 如 图 16-89 所 示 。 


百 


图 16-88 选择 侦 听 器 他 地 址 图 16-89 身份 验证 方式 
网 在 “单一 登录 设置 ”对 话 框 中 ， 选 择 默 认 值 ， 如 图 16-90 所 示 。 
着 央 在 “正在 完成 新 建 Web 侦 听 器 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-91 所 示 。 


正在 完成 新 建 Web 俩 听 器 向 导 


| ea) vsEranr om 运行 
Ea gern NE 
i Ee 


16-90 SSO 设置 16-91 创建 Web 侦 听 器 完成 


加 创建 完 Web 侦 听 器 后 ， 返 回 到 “选择 Web 侦 听 器 ”对 话 框 中 ， 选 择 新 创建 的 Web 侦 听 
器 ， 如 图 16-92 所 示 。 

鹿 蜀 在 “身份 验证 委派 ”对 话 框 中 ， 选 择 “ 无 委派 ， 但 是 客户 端 可 以 直接 进行 身份 验证 ” 选 
项 ， 如 图 16-93 所 示 。 


ol sim) ms | 
图 16-92 选择 Web 侦 听 器 16-93 ”身份 验证 


“531s 
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如 果 发 布 的 是 普通 的 、 不 需要 身份 验证 的 网 站 ， 则 选择 “无 委派 ， 客 户 端 无 法 直接 进行 身份 验证 ”。 


型 到 在 “用 户 集 ” 对 话 框 中 ， 选 择 默认 值 ， 如 图 16-94 所 示 。 
型 到 在 “正在 完成 新 建 Web 发 布 规则 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 规 则 创建 完成 ， 


如 图 16-95 所 示 。 


用 户 和 
I 


NE 有 于 下 天 让 且 3 志 下 


EHNAP uw | 
ME 
me 


‘上 sm 和 |] 9 而 
16-94 用 户 集 


6. 创建 访问 规则 4 


正在 完成 新 建 Wcb 发布 规则 向 导 


abn 


16-95 ”完成 Web 服务 器 发 布 规则 


创建 访问 规则 4 (人 允许 服务 器 2: 192.168.100.11 以 HTTP 协议 访问 “外 部 ” 与 访问 规则 3 的 


创建 类 似 ， 只 是 以 下 几 点 不 同 。 


9 在 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 中 ， 访 问 规则 名 称 为 “允许 服务 器 2 以 HTTP 
协议 访问 外 部 ”， 如 图 16-96 所 示 。 当 然 ， 也 可 以 设置 一 个 其 他 的 名 称 ， 只 要 能 让 用 户 明白 你 所 创 


建 规则 的 意义 即 可 。 
02) 单 击 “下 一 步 ”按钮 ， 在 “协议 ”对 话 框 中 选择 HTTP， 如 图 16-97 所 示 。 
EET | 
欢迎 使 用 新 建 访 问 规则 向 导 Nain a 

ee 

EST 

ery 

MW) 

村, 计划 市 “下 一步” 。 EC 
Ez] < 让 9 消 


16-96 ”创建 规则 名 称 


图 16-97 选择 HITP 协议 


93 在 “访问 规则 源 ” 对 话 框 中 ， 将 “ 源 ” 改 为 “服务 器 2”， 如 图 16-98 所 示 。 用 户 需要 在 
“添加 网 络 实体 ”中 添加 计算 机 对 象 ， 名 称 为 “服务 器 2”， 卫 地 址 为 192.168.100.11。 


to 多 其 他 的 操作 与 访问 规则 3 相同 ， 不 再 乾 述 。 
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图 16-98 指定 源 


7. 创建 访问 规则 5 


创建 访问 规则 5 拒绝 服务 器 3: 192.168.100.20 以 “任何 协议 ”访问 “外 部 ” 与 以 前 创建 的 
访问 规则 类 似 ， 只 是 以 下 几 点 不 同 。 


四 在 “欢迎 使 用 新 建 访问 规则 向 导 ” 对 话 框 中 , 访问 规则 名 称 为 “拒绝 服务 器 3 访问 外 部 ”， 
如 图 16-99 所 示 。 
io 到 在 “规则 操作 ”对 话 框 中 ， 选 中 “拒绝 ” 单 选 按钮 ， 如 图 16-100 所 示 。 


EECTTEB 


图 16-99 规则 名 称 图 16-100 拒绝 


i03j 在 “协议 ”对 话 框 中 选中 “所 有 出 站 通讯 ”选项 ， 如 图 16-101 所 示 。 

0 在 “访问 规则 源 ” 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “新 建 计算 机 规则 元 素 ”对 
话 框 中 ， 添 加 名 为 “服务 器 3”、IP 地 址 为 192.168.100.20 的 计算 机 对 象 ， 如 图 16-102 所 示 。 并 添 
加 到 “ 源 ” 列 表 中 。 


图 16-101 所 有 出 站 通信 16-102 添加 服务 器 3 对 象 
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8. 发 布 Web 服务 器 到 192.168.100.20 


创建 服务 器 发 布 规则 3 发布 Web 服务 器 到 192.168.100.20, 域名 为 www.msft.com) 与 发 布 规 
则 2 类似， 只 是 以 下 几 点 不 同 。 


0 和 在 Forefront TMG 中 , 创建 Web 服务 器 发 布 规则 ,设置 规则 名 称 为 “发 布 Web 服务 器 到 
192.168.100.20”， 如 图 16-103 所 示 。 

四 2 在 “内 部 发 布 详细 信息 ”对 话 框 中 ,选中 “使 用 计算 机 名 称 或 瑟 地 址 连接 到 发 布 的 服务 
器 ” 复 选 框 ， 并 且 设 置 计算 机 名 称 为 192.168.100.20， 如 图 16-104 所 示 。 


欢迎 使 用 新 建 Web 发 布 规则 向 导 


| 


[re 


| 
图 16-103 ”发 布 规则 名 称 图 16-104 ”指定 要 发 布 的 服务 器 的 了 P 地 址 


io3j 在 “公共 名 称 细节 ”对 话 框 中 ， 设 置 公用 名 称 为 www.msft.com， 如 图 16-105 所 示 。 

io 细 在 “身份 验证 委派 ”对 话 框 中 ， 选 择 “无 委派 ， 客 户 端 无 法 直接 进行 身份 验证 ”选项 ， 
如 图 16-106 所 示 。 
EOE | 
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图 16-105 ”公共 名 称 细节 16-106 ”身份 验证 委派 
9. 发 布 FTP 服务 器 
发 布 FTP 服务 器 到 192.168.100.20 的 步骤 如 下 。 
四 和 在 Forefront TMG 控制 台中 ， 在 “防火 墙 策略 ”中 ， 选 择 “新 建 ~ 非 Web 服务 器 协议 发 


布 规则 ”命令 ， 如 图 16-107 所 示 。 
io 到 在 “欢迎 使 用 新 建 服务 器 发 布 规则 向 导 ” 对 话 框 中 ， 在 “服务 器 发 布 规则 ”文本 框 中 ， 


.534 。 
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输入 规则 名 称 为 “发 布 FTP 服务 器 到 192.168.100.20”， 如 图 16-108 所 示 。 


EEEEEETTEB 


欢迎 使 用 新 建 服务 器 发 布 规则 向 导 


-一 一 EE 


图 16-107 新 建 非 Web 服务 器 发 布 规则 图 16-108 设置 规则 名 称 


四 3 在 “选择 服务 器 ”对 话 框 中 ， 指 定 FTP 服务 器 的 地 址 为 192.168.100.20， 如 图 16-109 
所 示 。 
四 弛 在 “选择 协议 ”对 话 框 中 ， 在 “选择 的 协议 ”下 拉 列 表 中 选择 “FTP 服务 器 ”选项 ， 如 
图 16-110 所 示 。 


[ww | 


图 16-109 ”指定 要 发 布 的 FTP 服务 器 地 址 图 16-110 选择 FTP 服务 器 协议 
四 9 在 “网 络 侦 听 器 瑟 地 址 ”对 话 框 中 ， 选 中 “外 部 ” 复 选 框 ， 如 图 16-111 所 示 。 
to8j 在 “正在 完成 新 建 服 务 器 发 布 规则 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-112 
所 示 。 


图 16-111 选择 侦 听 器 地 址 图 16-112 ”完成 规则 向 导 


Forefront TMG 的 FTP 协议 使 用 了 “FTP 筛选 器 ”， 在 默认 情况 下 ，FTP 筛选 器 是 以 “只 读 ” 
的 方式 工作 的 。 如 果 让 用 户 能 上 传 文件 到 FTP 服务 器 ， 必 须 去 掉 这 一 设置 。 


“535% 
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日 鼠标 右 击 新 创建 的 FTP 服务 器 的 发 布 规则 ， 在 弹出 的 快捷 菜单 中 选择 “配置 FTP” 命 令 
(如 图 16-113 所 示 ) ， 在 “配置 FTP 协议 策略 ”对 话 框 中 ， 取 消 选 中 “只 读 ” 复 选 框 ， 如 
图 16-114 所 示 。 


则 上 Web 目标 


国 e emer | 
昌国 9 Yuane 访 mm | 
导出 过 得 的 g) 
NM) 
国 m 发 布 邮件 用 务 器 2h32 tec 下 移 加 ] 
sn 允 旗 服务 器 124eTr、 TOT 
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瑟 国 & 多 放 所 有 用 户 访问 Yeb 


图 16-113 配置 FTP 16-114 ”取消 只 读 
10. 访问 规则 6 的 创建 


访问 规则 6 的 要 求 是 : 允许 其 他 网 段 在 周一 到 周 五 的 8:00 一 11:00、14:00 一 17:00， 以 “HTTP、 
FTP、SMTP 与 POP3 协议 ”访问 “外 部 ”， 在 其 他 时 间 以 “所 有 协议 ”访问 “外 部 ”。 实 际 上 ， 
这 是 两 个 规则 。 

因为 这 是 系统 中 的 最 后 一 个 规则 ， 所 以 ， 对 于 规则 定义 中 的 “其 他 网 段 ”， 可 以 通过 添加 “ 计 
算 机 集 ”， 依 次 添加 这 些 网 段 ， 也 可 以 用 “内 部 ”来 代替 ， 因 为 前 面 的 规则 已 经 匹配 ， 剩 下 的 自然 
就 包括 “其 他 网 段 ”了 。 在 此 通过 添加 “计算 机 集 ” 的 方式 来 实现 ， 这 样 可 以 让 规则 更 具体 。 

另外 ， 还 可 以 复制 系统 中 的 最 后 一 个 规则 “人 允许 所 有 用 户 访问 Web”， 并 在 此 规则 的 基础 上 修 
改 ， 也 可 以 使 用 新 建 规则 向 导 创建 。 在 此 通过 “复制 ”与 修改 的 方式 实现 ， 主 要 步 又 如 下 。 


| 


0 和 用 鼠标 右 击 “ 人 允许 所 有 用 户 访问 Web” 访 问 规则 ， 在 弹出 的 快捷 菜单 中 选择 “复制 ” 命 
令 ， 如 图 16-115 所 示 。 
tO3 然后 再 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “粘贴 ”命令 ， 如 图 16-116 所 示 。 


| #5 
: 


[| = a | 
图 16-115 复制 图 16-116 ”粘贴 


03) 粘贴 之 后 ， 会 出 现 两 条 功能 相同 的 策略 ， 只 是 名 称 略 有 区 别 ， 如 图 16-117 所 示 。 


BL 允许 所 有 用 户 访问 wab (1) 回放 LT 
birs 
e913 允许 所 有 用 户 访问 Yeb 回放 Dire 
yrs 


图 16-117 复制 后 的 策略 
我 们 将 依次 修改 这 两 条 策略 ， 主 要 步骤 如 下 。 


0 各 用 鼠标 双击 “允许 所 有 用 户 访问 Web (1) ”这 条 策略 ， 在 “常规 ”选项 卡 中 ， 修 改名 
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称 为 “允许 其 他 网 段 在 工作 时 间 上 网 ”， 并 且 在 “描述 ”文本 框 中 输入 详细 的 规则 信息 ( 可 以 根据 
需要 选择 是 否 添加 ) ， 如 图 16-118 所 示 。 

02 在 “协议 ”选项 卡 中 ， 添 加 “FTP、HTTP、HTTPS、POP3、SMTP” 协 议 ， 如 图 16-119 
所 示 。 


图 16-118 ”修改 名 称 图 16-119 添加 协议 
03) 在 “从 ”选项 卡 中 ， 选 中 “内 部 ”， 单 击 “ 删 除 ”按钮 ， 然 后 单 击 “ 添 加 ”按钮 ， 如 
图 16-120 所 示 。 在 “添加 网 络 实体 ”对 话 框 中 ， 新 建 “ 计 算 机 集 ”， 如 图 16-121 所 示 。 


图 16-120 删除 “内 部 ” 图 16-121 新 建 计算 机 集 


四 弛 在 “新 建 计算 机 集 规则 元 素 ” 对 话 框 中 ， 分 别 添加 名 为 
“VLAN11-15”、 地 址 范围 为 192.168.1.0-192.168.5.255 的 “ 子 网 ”， 
名 称 为 VLAN17、IP 地 址 为 192.168.7.0/24 的 “ 子 网 ”， 以 及 名 称 为 
“VALN19-20”、 地 址 范围 为 192.168.9.0-192.168.10.255 的 “ 子 网 ”， 
如 图 16-122 所 示 。 然 后 将 “其 他 网 段 ”添加 到 “从 ”选项 卡 中 ， 如 
图 16-123 所 示 。 

io 甸 在 “计划 ”选项 卡 ， 添 加 名 为 “上 班 时 间 ” 的 计划 ， 时 间 
为 周一 到 周 五 的 8:00 ~ 12:00、14:00 ~ 17:00， 如 图 16-124 所 示 。 设 5 
置 完成 后 ， 这 条 规则 创建 完成 ， 单 击 “ 确 定 ”按钮 。 图 16-122 添加 计算 机 集 
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可 由 一 到 | 
| | nw | A | _E 间 内 
图 16-123 添加 其 他 网 段 图 16-124 添加 计划 


11. 检查 策略 顺序 并 应 用 更 改 


做 完 上 述 策略 之 后 ， 根 据 事先 的 规则 ， 检 查 策略 及 
策略 顺序 是 否 符 合 我 们 的 需求 ， 可 以 通过 选中 策略 并 单 
击 工具 栏 上 的 “+ ”“ | ”按钮 进行 调整 。 在 调整 之 前 ， 
先 选中 最 后 两 条 策略 ， 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜 
单 中 选择 “取消 组 合 ” 命 令 , 然 后 再 进行 调整 ,如 图 16-125 


Fs, rm sme, Oi 


ey 


S68 A 


上 移 0D | 
二 -一 一 一 一 一 一 |) 
16-125 ”取消 组 合 


组 合 是 Forefront TMG 中 新 增加 的 功能 ， 使 用 此 功能 可 以 将 多 个 不 同 的 策略 “组 合 ”在 一 起 ， 进 行 
分 组 管理 。 这 样 在 有 多 条 策略 时 ， 可 以 通过 展开 ( 单 击 工具 栏 上 的 + ) 或 者 折叠 分 组 ( 单 击 工具 栏 上 的 
一 ) ， 让 管理 界面 更 加 简洁 。 


最 后 ， 通 过 单 击 “ 应 用 ”按钮 ， 让 设置 生效 。 在 Forefront TMG 中 ， 增 加 了 “配置 更 改 描述 ” 
的 对 话 框 ， 在 此 可 以 输入 当前 配置 更 改 的 原因 ， 如 图 16-126 所 示 。 如 果 以 后 不 想 使 用 这 个 功能 ， 
可 以 选中 “不 再 显示 此 提示 ” 复 选 框 。 


Ne 
出 旧名 他 XW 二 夺 和 元 


16-126 让 设置 生效 
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16.4.3 ”系统 策略 


在 安装 Forefront TMG 时 ， 将 配置 一 组 预定 义 规则 〈 称 为 系统 策略 规则 ) ， 这 些 规 则 默认 是 不 
会 显示 的 。 如 果 要 显示 系统 策略 ， 在 Forefront TMG 控制 台中 的 “查看 ”菜单 中 ， 选 择 “显示 系统 
策略 规则 ”命令 即 可 ， 如 图 16-127 所 示 。 


at Waragement Gateway .0 


EE 
ee 一 YI 
一 三 


Er 


BR 吾 
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图 16-127 显示 系统 策略 规则 


在 系统 策略 规则 中 ， 可 以 启用 或 禁用 单独 的 规则 ， 并 修改 规则 目标 ， 但 不 能 删除 现 有 规则 或 
创建 新 规则 。 


一 般 情 况 下 ， 不 要 修改 或 禁用 系统 规则 。 改 变 系 统 规则 ， 有 可 能 引起 安全 或 者 网 络 问题 。 只 有 在 确 
实 需要 时 ， 才 可 以 “暂时 ”修改 系统 规则 ， 当 所 做 工作 完成 后 ， 再 次 恢复 系统 策略 。 


例如 ， 在 Forefront TMG 的 计算 机 中 ， 安 装 了 “Intemet 信息 服务 ”并 且 在 通过 “企业 证 书 服 
务 器 ”申请 证 书 的 时 候 ， 会 出 现 “RPC 服务 器 不 可 用 ”的 错误 提示 ， 如 图 16-128 所 示 。 这 个 时 候 ， 
就 需要 修改 第 22 条 系统 策略 〈 用 鼠标 右 击 “ 人 允许 从 Forefront TMG 到 受信 任 的 服务 器 的 RPC”， 
从 弹出 的 快捷 菜单 中 选择 “编辑 系统 策略 ”命令 ) ， 并 且 取 消 选中 “强制 严格 符合 RPC” 复 选 框 ， 
如 图 16-129 所 示 ， 才 能 解决 这 个 错误 。 


去 过 
下 
[ee 
四 
cam) = mn Cia 


图 16-128 ”提示 RPC 服务 不 可 用 
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在 申请 证 书 之 后 ， 恢 复 系统 策略 。 


16.5 ”组 建 基于 PPTP 与 L2TP 的 VPN 网 络 


在 “远程 访问 策略 ”中 ,可 以 将 Forefront TMG 配置 成 VPN 服务 器 (允许 远程 用 户 通过 Internet， 
以 VPN 方式 连接 到 Forefront TMG 所 保护 的 内 网 ), 或 者 将 Forefront TMG 配置 成 VPN 路 由 器 ( 连 


接 多 个 远程 的 网 络 ) 。 本 文 先 介绍 基于 PPTP 与 L2TP 的 VPN 网 络 的 组 建 ， 网 络 拓扑 如 图 16-130 


服务 器 1 服务 器 2 


VPN 客 户 端 


连接 到 Internet 
YPN 客户 端 IP 


192. 168. 200. 0/24 


VPN 客户 端 


图 16-130 ”VPN 服务 器 网 络 拓 扑 


在 图 16-130 中 ,是 在 前 文 (图 16-50) 的 基础 上 , 将 网 络 中 原来 的 Forefront TMG 2010 配置 成 
VPN 服务 器 ， 并 为 Internet 用 户 提供 VPN 拨 入 的 拓扑 。 在 本 案例 中 ， 为 VPN 客户 端 规划 的 他 地 


址 是 192.168.200.0/24， 并 且 人 允许 VPN 客户 端 访问 “服务 器 1” 与 “服务 器 3” (以 “内 网 ”用 户 
的 身份 ) 。 接 下 来 介绍 这 个 案例 的 配置 。 


。540 。 


Forefront TMG 2010 系统 管理 与 应 用 第 16 党 


16.5.1 在 Forefront TMG 中 启用 VPN 服务 器 
在 Forefront TMG 中 ， 启 用 VPN 服务 的 步骤 如 下 。 


0 和 在 Forefront TMG 管理 器 的 “远程 访问 策略 (VPN ) ”节点 ， 单 击 “VPN 客户 端 ” 选 项 
卡 ， 在 右 侧 的 “任务 ”选项 卡 中 单 击 “ 定 义 地址 分 配 ”链接 ， 如 图 16-131 所 示 。 


SERTL] 
Forefront 
Threat Management Gateway 40 


配置 VPN 客户 端 访 间 
Hse a sR nO 


i 
市 汪 和 本 让 呈 的 用 VPN 这 接 案 入 雪 到 吉 生 。 


PT] 
et ee eed eer A RR ns A 
证 * 未 更 治 RADIUS 生 克 驴 下 取 入 吾 。 

国 sm siaanas 
Rk Mele be 


a 
ene pat 


图 16-131 定义 地 址 分 配 


02 在 “远程 访问 策略 (VPN ) 属性 ”对 话 框 中 ， 在 “地 址 分 配 ” 选 项 卡 中 ， 定 义 给 VPN 客 
户 端 分 配 人 P 地 址 的 方式 。 如 果 网 络 中 存在 DHCP 服务 器 ( 此 DHCP 服务 器 与 VPN 服务 器 不 能 在 
同一 主机 上 ) ， 可 以 使 用 DHCP 服务 器 分 配 。 如果 网 络 中 没有 DHCP 服务 器 , 或 者 不 想 使 用 DHCP 
服务 器 分 配 的 地 址 ， 可 以 选中 “静态 地 址 池 ” 单 选 按钮 ， 并 且 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “服务 
器 人 P 地 址 范围 属性 ”对 话 框 中 ， 输 入 VPN 客户 端的 地 址 范围 。 在 本 例 中 ， 为 192.168.200.0 ~ 
192.168.200.255， 如 图 16-132 所 示 。 


个 动态 主 册 可 村 协议 OhEP) 0 


健 用 下 济 网 站 来 但 MCe，INS 和 WENS 苯 务 0 
EE3 | 
高 加 设置 只 适用 于 远程 we 害 户 端 。 高 入 


16-132 为 VPN 客户 端 定义 可 用 的 地 址 范围 


I03) 在 “身份 验证 ”选项 卡 中 ， 选 择 VPN 客户 端 与 Forefront TMG 的 VPN 服务 器 连接 时 使 
用 的 身份 验证 方法 。 通 常情 况 下 ， 选 择 默认 值 即 可 ， 如 图 16-133 所 示 。 

I0 旨 在 “RADIUS” 选 项 卡 中 ， 指 定 是 否 启用 RADIUS 服务 器 对 VPN 客户 进行 身份 验证 。 默 
认 情 况 下 ， 使 用 Forefront TMG 这 合 “本 地 计算 机 ”进行 身份 验证 ， 所 以 不 需要 设置 。 如 图 16-134 
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所 示 。 当 然 ， 如 果 要 使 用 网 络 中 的 其 他 RADIUS 服务 器 进行 身份 验证 ， 可 以 选中 “使 用 RADIUS 
进行 身份 验证 ” 复 选 框 并 且 单 击 “RADIUS 服务 器 ”按钮 ， 添 加 RADIUS 服务 器 的 地 址 及 身份 验 
证 消息 。 


ETE | 
廊 阁 | 地 址 分 要 身 的 | pa | 这 | 地址 区 | 身 从 站 证 arm | 


的 检 5 一 一 同 以 使用 RMIT 服务 运用 户 和 nd 这 拉 生生 份 验 
Ee 定 记 尊 所 5 Fors5rent WG 的 可 说 月 于 所 有 与 此 PareEvat TWNG 计算 机 建立 的 YPN 连 
本 roeoft 加 证 交 位 正 肯 丰 ”IE-CUPwel 四 厂 使 用 sorys 进行 身 的 证 

厅 本 本 六 吧 证 办 7] ， 便 有 各 此 丰台 其 人 下 


全 可 以 全 有 EAITVS 记 条 来 在 KAITS 大 务 器 日 志 中 记录 WP4 连接。 
对 基于 WP 角 随 丙 ， 亿 和 可 站 EN ， 关于 醒 资 ME 的 帮助 


厂 加 宇明 且 份 妈 证 CN) 。 需要 梧 亚 的 名 汉人 E) 
厂 未 加 密 航 更 码 中 AI0D 


厂 使 用 MDTWS 记 6 录 ) 各 ) 


ur i53 吕 


厂 记 许 121F 党 党 自 直 义 IPsec 部 脆 0 N 
于 训 天 证 区 一 一 一 一 一 
Ci ]_ ww | enw | Ens] Sm | awdl 
图 16-133 身份 验证 方法 16-134 ”是 否 选择 RADIUS 进行 身份 验证 


tog 在 “访问 网 络 ” 选 项 卡 中 ,选择 对 VPN 客户 端 进行 侦 听 的 网 络 ， 默认 情况 下 是 “外 部 ”， 
即 VPN 服务 器 只 对 Internet 用 户 生 效 , 如 图 16-135 所 示 . 设 置 之 后 , 单 击 “ 确 定 ” 按 钮 ,返回 Forefront 
TMG 控制 台 。 


如 果 在 内 网 也 需要 VPN 服务 器 ， 可 以 在 “访问 网 络 ”选项 卡 中 选中 “内 部 ” 复 选 框 ， 这 样 ，VPN 
客户 端 可 以 通过 拨 叫 Forefront TMG 内 网 的 IP 地 址 ， 来 呼叫 VPN 服务 器 。 


0 人 j 在 Forefront TMG 控制 台 右 侧 窗 格 的 “任务 ”选项 卡 中 ， 单 击 “ 配 置 VPN 客户 端 访问 ” 
链接 ， 在 弹出 的 “VPN 客户 端 属性 ”对 话 框 中 ， 在 “协议 ”选项 卡 中 ， 选 择 远程 访问 连接 可 用 的 
隧道 协议 ,如 图 16-136 所 示 , 在 默认 情况 下 ,Forefront TMG 的 VPN 服务 器 选择 PPTP 与 L2TP/IPsec。 


;各 访问 各 四 (YPN) 展 性 VTE 容 户 并 区 性 


Wop | nit | 身 人 内 证 | oes | 而 规 | 组。 均 襄 | 用 户 吕 时 | 全高 | 
eb 过 生计 这 拉杆 从 议 
i PF ER mm 中 


i ie 
- 部 要 同 给 对 免 
ES i 
口 专 所 有 迫 伴 br 内 置 外 厂 EN It) 人 
口才 所 和 月 六 和 本 地 主机 ) 此 清 定 的 Pr 首 集 世 尖 新 自问 入 i Ee 
4 | R 
[本 ] | mw | Cj _w | sw | 
16-135 访问 网 络 16-136 协议 


如 果 要 使 用 SSTP 协议 ， 需 要 为 Forefront TMG 申请 一 个 “服务 器 证 书 ” 并 安装 在 “本 地 计算 机 存 
储 ” 中 。 在 本 文 的 16.7 节 将 介绍 这 方面 内 容 。 
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iD 到 在 “常规 ”选项 卡 中 ， 选 中 “启用 VPN 客户 端 访问 ” 复 选 框 ， 并 且 设置 “允许 的 最 大 
VPN 客户 端 数量 ”， 在 此 设置 为 200， 如 图 16-137 所 示 。 设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 。 


在 指定 最 大 VPN 客户 端 数量 时 ， 要 保证 有 足够 的 VPN 客户 端 地 址 ( 在 图 16-132 中 设置 ) ,如 果 可 
用 的 VPN 客户 端 地址 不 够 ， 将 会 弹出 错误 的 消息 并 不 能 继续 ， 如 图 16-138 所 示 。 


DEREE3 


5 


ET 
图 16-137 启用 VPN 客户 端 访 问 图 16-138 卫 地 址 不 够 

ij 返回 到 Forefront TMG 控制 台 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 。 同 时 ， 最 好 在 “配置 
更 改 描述 ”对 话 框 中 ， 写 清 配 置 更 改 的 原因 ， 如 图 16-139 所 示 。 


16-139 应 用 


在 配置 完 VPN 服务 器 后 ， 还 需要 在 “防火 墙 策略 ”中 ,新建 一 条 规则 ， 人 允许 VPN 客户 端 访问 
服务 器 1、 服 务 器 3。 主要 步骤 如 下 。 


四 访问 规则 名 称 定义 为 “允许 VPN 客户 端 访问 服务 器 1、 服 务 器 3”， 如 图 16-140 所 示 。 

四 有 规则 操作 为 “允许 ”。 

io3 所 选 协议 为 “所 有 出 站 通信 ”。 

4 在 “访问 规则 源 ” 对 话 框 中 ， 添 加 “VPN 客户 端 ” 与 “被 隔离 的 VPN 客户 端 ”， 如 
图 16-141 所 示 。 
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EESTTTTEB 男 
欢迎 使 用 新 建 访问 规则 向 导 VN ag 
pies > NA 
a — nw | 
-一 一 一 一 — 
访问 规则 各 称 上 mw | 
EEE 
要 绯 续 ， 请 单 击 “下 一 务 ”。 
En ES] ws | mn | 
16-140 ”访问 规则 图 16-141 访问 规则 源 


tog 在 “访问 规则 目标 ”对 话 框 中 ， 添 加 “服务 器 1” 与 “服务 器 3”， 如 图 16-142 所 示 。 

to@j 其 他 选择 默认 值 。 添 加 完成 后 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 。 

在 第 一 次 配置 VPN 服务 器 的 时 候 ， 需 要 重新 启动 计算 机 。 重 新 启动 Forefront TMG 的 计算 机 ， 
如 图 16-143 所 示 。 


访问 本 日 标 
吉 规 R 应 用 于 闪 六 RDS 达 友和 由 昨日 汪 表 。 


此 机 风 腊 于 发 半 到 芝 些 日 于 的 递 讯 : 


| 
Lh) 
运行 切 移 用 户 o) 
注 狂 员 
”后 姐 序 锁 寺 四) 
Em|T SY] 参 [EE 
图 16-142 访问 规则 目标 图 16-143 ”重新 启动 Forefront TMG 
16.5.2 用户 管理 与 设置 


再 次 进入 Forefront TMG 后 ， 需 要 为 VPN 客户 端 创建 用 户 。 操 作 步 骤 如 下 。 


to 同 进入 “服务 器 管理 器 ”， 定 位 到 “配置 一 本 地 用 户 和 组 一 用 户 ” 节 ， 在 右 侧 空 白 窗 格 中 
单 击 鼠标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “新 用 户 ”命令 ， 如 图 16-144 所 示 。 

lg 在 弹出 的 “新 用 户 ” 对 话 框 中 输入 “用 户 名 ”、“ 密 码 ”， 并 取消 选中 “用 户 下 次 登录 
时 须 更 改 密码 ”对 话 框 ， 然 后 单 击 “ 创 建 ”按钮 。 创 建 用 户 完 成 后 ， 可 以 继续 创建 用 户 ， 也 可 以 单 
击 “ 关 闭 ” 按 钮 ,退出 用 户 创建 ,如 图 16-145 所 示 . 在 本 例 中 ,创建 的 用 户 名 是 vpn, 密码 是 alb2c3D4， 
密码 区 分 大 小 写 。 

tQ3j 双击 新 创建 的 用 户 ， 在 “vpn 属性 ”对 话 框 的 “ 拨 入 ”选项 卡 中 ， 选 中 “人 允许 访问 ” 单 选 按 
钮 ， 如 图 16-146 所 示 ， 然 后 单 击 “确定 ”按钮 。 此 时 ， 所 有 的 远程 VPN 客户 机 可 以 使 用 此 用 户 名 拨 
入 并 可 自动 获取 地 址 ， 获 取 的 地 址 为 图 16-132 中 设置 的 地 址 范围 。 如 果 想 给 每 一 个 VPN 接 入 用 户 创 
建 一 个 用 户 名 ， 并 且 想 给 接 入 的 VPN 用 户 分 配 固定 的 瑟 地 址 ， 可 选中 “分 配 静 态 瑟 地址 ” 复 选 框 ， 
并 单 击 “ 静 态 下 地 址 ”按钮 ， 为 用 户 指定 固定 的 IPv4 或 IPv6 地 址 ， 如 图 16-147 所 示 。 
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16-145 ”创建 用 户 
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厂 分 区 得 访 Tv 地 址 串 : 


Eh 
一 | 
图 16-146 人 允许 远程 访问 权限 16-147 为 VPN 用 户 指 定 固定 地 址 


为 VPN 用 户 分 配 了 固定 人 P 地 址 后 ， 当 此 用 户 拨 入 ， 系 统 会 为 该 用 户 分 配 图 16-147 中 “分 配 静 
态 IPv4 地 址 ”后 指定 的 地 址 。 如 果 该 地 址 已 经 被 使 用 ， 则 系统 会 为 用 户 分 配 一 个 可 用 的 其 他 地 址 。 


04 设置 之 后 ， 单 击 “ 确 定 ” 按 钮 返回 。 


16.6 配置 VPN 站 点 间 路 由 


在 “远程 站 点 ”选项 卡 中 ， 可 以 配置 VPN 站 点 间 路 由 ， 用 Forefront TMG 连接 两 个 〈 或 多 个 ) 
内 部 局 域 网 。 在 本 节 中 ， 同 样 通过 案例 的 方式 进行 介绍 ， 所 用 网 络 拓扑 如 图 16-148 所 示 。 


网 络 1: 
192. 1. 0 le 168. 10.0 


网 络 2: 8. 100. 0 
192. 168. 180. 0/24 182 1 254.0 
中 一 长 车 河 

sR 连接 到 Internet 

TuG 2010 
外 网 IP: 202. 206. 198. 10 外 网 IP: 0 06 197. 125 
内 网 IP: 192. 168. 180. 254 内 网 IP。 192. 168. 254. 252 
VPN: 192. 168. 181. 0/24 VPN: 192. 168. 200.0/24 


图 16-148 VPN 站 点 间 路 由 
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在 图 16-148 中 ， 网 络 1 的 内 部 网 络 是 192.168.1.0 一 192.168.10.0/24、192.168.100.0/24、 
192.168.254.0/24 ，Forefront TMG 的 外 网 地 址 是 202.206.197.125; 网 络 2 的 内 部 地 址 是 
192.168.180.0/24，Forefront TMG 的 外 网 地 址 是 202.206.198.10. 

首先 介绍 网 络 1 中 ，Forefront TMG 的 配置 ， 步 骤 如 下 。 


to 山 在 Forefront TMG 的 控制 台中 ， 定 位 到 “远程 访问 策略 VPN” 节 点 ， 单 击 “ 远 程 站 点 ” 
选项 卡 ， 然 后 单 击 “ 创 建 VPN 点 对 点 连接 ” 链接， 如 图 16-149 所 示 。 


图 16-149 创建 VPN 点 对 点 连接 
tO3 在 “欢迎 使 用 创建 VPN 点 对 点 连接 向 导 ” 对 话 框 中 ， 在 “点 对 点 网 络 名 称 ”文本 框 中 ， 
输入 新 创建 的 连接 名 称 。 在 此 推荐 使 用 英文 名 称 ， 本 例 为 RRAS， 如 图 16-150 所 示 。 
io3 在 “VPN 协议 ”对 话 框 中 ， 选 中 “点 对 点 隧道 协议 (PPTP ) ” 单 选 按钮 ， 如 图 16-151 


| 
ri eum 


欢迎 使 用 创建 YPN 点 对 点 连接 向 导 


和 


关于 yd 内 间 且 


要 出 续 ， 请 间 击 "下 一 步 ” 


a = m2) EE 


图 16-150 ”连接 名 称 图 16-151 选择 PPTP 协议 
0 旨 在 “远程 站 点 网 关 ” 对 话 框 中 ， 输 入 网 络 2 中 Forefront TMG 的 外 网 全 ， 本 例 为 
202.206.198.10， 如 图 16-152 所 示 。 
0g 在 “远程 身份 验证 ”对 话 框 中 ， 选 中 “允许 本 地 站 点 使 用 此 用 户 账户 启动 到 远程 站 点 的 
连接 ” 复 选 框 ， 在 “用 户 名 ”对 话 框 中 ， 输 入 允许 远程 连接 的 VPN 用 户 。 在 本 例 中 ， 设 置 用 户 为 
TIras， 并 设置 密码 为 alb2c3D4 (该 用 户 在 后 面 创建 ) ， 如 图 16-153 所 示 。 
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运程 身价 验证 
入 i 要 要 斌 程 让 上 上 的 用 六 由 户 
运程 站 点 WN 服务器 下) 
_ | Ee 
16-152 ”指定 远程 网 关 地 址 图 16-153 远程 身份 验证 


to8j 在 “网 络 地 址 ”对 话 框 中 ， 单 击 “ 添 加 范围 ”按钮 ， 添 加 网 络 2 的 “内 网 ”地 址 。 在 本 
例 中 为 192.168.180.0/24， 当 然 ， 也 可 以 将 网 络 2 的 VPN 地 址 添加 进来 ， 如 图 16-154 所 示 。 
0 在 “远程 NLB” 对 话 框 中 ， 取 消 选 中 “已 为 网 络 负载 平衡 启用 了 远程 站 点 ” 复 选 框 ， 如 
16-155 所 示 。 


ET EE 国 | 


把 址 轩 ; 


厂 已 2 网 六 和 寺 二条 认 用 了 区 各 站 点) 
指定 放 程 网 关 的 者 网 I? 地 址 


[站 家 | ] 0 加 多 
负 本 加 
TT 


指定 2 二 


ET i 
| 
Tin a fea 
| 
= hs 让。 了 出 EA rE 了 


图 16-154 ”添加 远程 网 络 内 网 地 址 图 16-155 远程 NLB 
08j 在 “点 对 点 网 络 规则 ”对 话 框 中 ， 选 择 默认 值 ， 将 创建 网 络 规则 ， 如 图 16-156 所 示 。 
tog9j 在 “点 对 点 网 络 访问 规则 ”对 话 框 中 ， 将 创建 网 络 访问 规则 ， 并 且 在 “将 规则 应 用 于 这 
些 协 议 ”下 拉 列 表 中 ， 选 择 “ 所 有 出 站 通讯 ”选项 ， 如 图 16-157 所 示 。 


点 对 点 网 络 访问 规则 
和 外 认定 近 六 WP# 点 点 有 由 g 甬 讯 ， 需 要 一 个 访问 规则- 


点 对 点 司 络 规则 
i mm dM mm 二 


| 
图 16-156 ”网络 规则 图 16-157 访问 规则 


型 g 在 “正在 完成 新 建 VPN 点 对 点 网 络 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-158 
所 示 。 


=。547 。 
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加 是 在 “Forefront TMG” 警 告 对 话 框 中 ， 单 击 “ 确 定 ”按钮 ， 如 图 16-159 所 示 。 


正在 完成 新 建 YPH 点 对 点 网 络 向 导 


7 二 spsas 5 


se 和 

远程 mw 服务 器 恒 

ER 六 本 Rs 

I CI mm | w | 
图 16-158 完成 向 导 图 16-159 警告 


四 在 “剩余 VPN 点 对 点 任务 ”对 话 框 中 ， 单 击 “确定 ”按钮 ， 如 图 16-160 所 示 。 
因 ) Forefront TMG 控制 台中 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 ， 如 图 16-161 所 示 。 


实施 耻 基 全 因而 拉 区 00 
ET IE 外 由 忆 | 
FE rn Er 


16-160 任务 图 16-161 让 设置 生效 


在 创建 VPN 站 点 间 路 由 后 ， 会 在 “防火 墙 策略 ”中 添加 1 条 策略 (图 16-157 中 设置 ) ， 如 
图 16-162 所 示 ， 这 是 Forefront TMG 自动 创建 的 ， 你 可 以 在 此 查看 。 


另外 ， 在 “网 络 连 接 ” 中 ， 还 会 创建 名 为 RRAS 的 连接 ， 并 指明 其 关系 ， 如 图 16-163 所 示 。 
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图 16-163 ”网 络 连接 


然后 进入 “服务 器 管理 器 一 配置 一 本 地 用 户 和 组 一 用 户 ” 中 , 添加 名 为 rras、 密 码 为 alb2c3D4 
的 用 户 〈 如 图 16-164 所 示 ) ， 并 且 设 置 “ 人 允许 拨 入 ”权限 ， 这 些 不 再 袭 述 。 


图 16-164 ”创建 用 户 
在 “网 络 2” 的 Forefront TMG 中 ,同样 也 要 创建 “VPN 点 对 点 连接 ”， 主 要 步骤 与 上 文 相 似 ， 
但 需要 注意 以 下 不 同 之 处 : 
(1) 在 “远程 站 点 网 关 ” 对 话 框 中 ,指定 远程 站 点 VPN 服务 器 为 “网 络 1” 的 Foreffont TMG 
的 外 网 地 址 ， 本 例 中 为 202.206.197.125， 如 图 16-165 所 示 。 
(2) 在 “网 络 地 址 ”对 话 框 中 , 指定 “网 络 1” 的 内 网 地 址 , 本 例 为 192.168.1.0 一 192.168.10.255、 
192.168.100.0 一 192.168.100.255、192.168.254.0 一 192.168.254.255， 如 图 16-166 所 示 。 


16-165 ”远程 站 点 网 关 16-166 网络 1 内 网 地 址 
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(3) 其 他 则 与 上 文 步骤 完全 一 致 。 
创建 完成 之 后 ， 在 两 个 网 络 之 间 将 创建 VPN 路 由 ， 并 且 在 由 内 部 网 络 访问 另 一 网 络 内 部 地 址 
的 时 候 ，Forefront TMG 自动 完成 VPN 站 点 间 路 由 的 连接 工作 。 当 然 ， 如 果 网 络 中 有 三 层 交 换 机 ， 
需要 在 三 层 交 换 机 中 ， 将 到 另 一 网 络 的 静态 路 由 ， 指 向 所 属 网 络 的 Forefront TMG 的 内 网 他 地 址 ， 
这 样 才能 正确 访问 。 


16.7 组建 基于 SSTP 的 VPN 网 络 


要 组 建 基于 SSTP 的 VPN 网 络 ， 需 要 为 VPN 服务 器 申请 一 个 “服务 器 证 书 ” 并 保存 在 “计算 
机 存储 ”中 。 一般 情况 下 , 可 以 选择 Windows Server 2003 或 Windows Server 2008 的 “证 书 服务 器 ”。 
证 书 服务 器 分 两 种 : 一 种 是 需要 Active Directory 的 “企业 证 书 服务 器 ”， 另 一 种 是 “独立 证 书 服 
务 器 ”。 如 果 只 是 需要 “服务 器 证 书 ”。 一 般 选择 “独立 证 书 服务 器 ”。 当 然 ， 选 择 “ 企 业 证 书 服 
务 器 ”也 是 可 以 的 ， 只 是 “独立 证 书 服务 器 ”相对 比较 简单 。 在 本 节 中 ， 通 过 图 16-167 所 示 的 网 
络 拓扑 进行 学 习 。 


Windows 7 连接 到 Internet 
IP: 202.206. 197. 121 TMG 2010 交换 机 Windows 2008 
外 网 : 202. 206. 197. 125 独立 证 书 服务 器 
内 网 : 192. 168. 254. 252 192. 168. 254. 10 
VPN: 192. 168. 200. 0/24 


16-167 基于 SSTP 协议 的 VPN 网络 


本 次 案例 要 实现 的 功能 : 

(1) Forefront TMG 从 内 部 的 Windows Server 2008 申请 证 书 。 

(2) Forefront TMG 将 Windows Server 2008 的 “证 书 服务 ” (Web 服务 器 ) 发 布 到 Internet。 

(3) Windows 7 从 Forefront TMG 发 布 的 证 书 服务 器 下 载 “ 根 证 书 ” 并 保存 到 “可 信任 的 证 
书 颁发 机 构 ”。 

(4) Windows 7 使 用 SSTP 协议 呼叫 Forefront TMG 2010 的 VPN 服务 器 。 呼 叫 成 功 后 ， 获 得 
192.168.200.0 一 192.168.200.255 之 间 的 地 址 ， 并 能 访问 192.168.254.10。 

(5) 使 用 SSTP 协 议 时 ,VPN 服务 器 需要 与 一 个 域名 “ 绑 定 ”在 本 例 中 ,该 域名 为 sstp.msft.com,， 
在 VPN 客户 端 ， 需 要 能 将 该 域名 解析 为 VPN 服务 器 的 外 网 了 P 地 址 。 如 果 不 能 解析 ， 则 需要 修改 
VPN 客户 端的 hosts 文件 。 


16.7.1 实现 步骤 
基于 SSTP 协议 的 Forefront TMG 的 VPN 网 络 组 建 的 主要 步骤 如 下 。 


四 1 准备 独立 证 书 服务 器 。 
to3 在 Forefront TMG 计算 机 上 创建 策略 ， 从 独立 证 书 服务 器 申请 证 书 并 保存 在 计算 机 存储 中 。 
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I03| 在 Forefront TMG 上 创建 “Web 服务 器 发 布 策略 ”， 发 布 证 书 服务 器 到 Intemet。 在 本 例 
中 ， 对 外 发 布 名 为 ca.msft.com. 
ey 


04 为 Forefront TMG 启用 VPN 网 络 访问 ， 并 使 用 SSTP 协议 。 在 本 例 中 ，VPN 服务 器 的 对 
外 服务 名 为 sstp.msft.com。 
tog VPN 客户 端 从 证 书 服务 器 下 载 根 证 书 并 安装 。 
06j VPN 客户 端 使 用 SSTP 协议 拨号 VPN 服务 器 。 
下 文 将 详细 介绍 每 一 个 步骤 。 


16.7.2 ”安装 独立 证 书 服务 器 
在 网 络 中 的 一 台 Windows Server 2008 (或 Windows Server 2008 R2) 的 计算 机 上 ， 配 置 卫 地 
址 、 测 试 网 络 连通 性 、 安 装 独立 证 书 服务 器 ， 步 又 如 下 。 


图 16-168 所 示 。 


04 根据 图 16-167 所 示 的 网 络 拓扑 ， 为 Windows Server 2008 设置 IP 地 址 192.168.254.10， 
设置 网 关 地 址 为 192.168.254.252， 如 


16-169 所 示 。 只 有 在 网 络 连通 后 ， 才 能 继续 后 面 的 操作 。 


ITETIZYTTTTTTTTT 


环 引 | 


2 设置 完成 后 ， 进 入 命令 提示 符 ， 使 用 ping 命令 ， 测 试 到 Forefront TMG 的 连通 性 ， 如 


汪 吕 和 
个 自动 名 得 理 地 址 加 


-6 使用 下 面 的 下 博 让 5 
| lg; 


各 用 os 蚌 务 器 内 ) 


厂 退出 时 锥 证 设置 皮 高 噶 轨 ) 
Ge wm | 
图 16-168 设置 PP 地 址 


16-169 ”测试 网 络 连通 性 
如 果 不 能 ping 通 ， 则 需要 在 Forefront TMG 上 添加 “访问 规则 ”， 人 允许 ping 通 《〈 访 问 规则 的 
创建 可 参见 后 文 ) 。 

当 网 络 正常 之 后 ， 安 装 标准 证 书 服务 器 ， 步 又 如 下 。 


W@ 进入 “服务 器 管理 器 ”， 单 击 “ 添 加 角色 ”和 链接， 如 
所 示 。 


16-170 所 示 。 
2 在 “选择 服务 器 角色 ”对 话 框 中 ,选中 “Active Directory 证 书 服务 ” 复 选 框 ， 如 图 16-171 
03) 在 “选择 角色 服务 ”对 话 框 中 ， 在 “角色 服务 ”选项 纪 


中 ， 选 中 “证 书 颁 发 机 构 ” 与 “证 
书 颁发 机 构 Web 注册 ” 复 选 框 ， 在 弹出 的 “添加 角色 向 导 ” 对 话 框 中 ， 单 击 “ 添 加 必需 的 角色 服 
务 ” 按 钮 ， 如 图 16-172 所 示 。 


W941 在 “指定 安装 类 型 ”对 话 框 中 ， 选 中 “独立 ” 单 选 按钮 ， 如 图 16-173 所 示 。 
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图 16-170 添加 角色 16-171 添加 证 书 
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图 16-172 添加 证 书 颁发 机 构 图 16-173 ”安装 独立 证 书 
tog3 在 “指定 CA 类 型 ”对 话 框 中 ， 选 中 “ 根 CA” 单 选 按钮 ， 如 图 16-174 所 示 。 
tQ@ 在 “设置 私 钥 ” 对 话 框 中 ， 选 中 “新 建 私 钥 ” 单 选 按钮 ， 如 图 16-175 所 示 。 
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图 16-174 创建 根 CA 图 16-175 ”新建 私 钥 
上 0 在 “为 CA 配置 加 密 ” 对 话 框 中 ， 选 择 默认 值 ， 如 图 16-176 所 示 。 


tQ8j 在 “配置 CA 名 称 ” 对 话 框 中 ,设置 CA 的 名 称 。 在 实验 中 ， 可 以 选择 默认 值 (是 计算 
机 名 称 加 “ 短 横 线 ”加 “CA” ) ， 如 图 16-177 所 示 。 
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TD 


TD| 二 【 
图 16-177 设置 CA 的 公用 名 称 


图 16-176 为 CA 配置 加 密 

to9 在 “设置 有 效 期 ”对 话 框 中 ， 选 择 此 CA 生成 的 证 书 的 有 效 期 ， 如 图 16-178 所 示 。 在 

Windows Server 2008 中 ， 标 准 证 书 服务 器 的 有 效 期 是 5 年 。 如 果 组 建 商 用 的 VPN 服务 器 ， 可 以 根 

据 需要 ， 设 置 证 书 服务 器 的 有 效 时 间 。 当 然 ， 商 用 VPN 服务 器 即使 证 书 服务 器 过 期 ， 也 可 以 重新 
安装 、 重 新 为 服务 器 申请 证 书 ， 这 个 并 不 影响 实际 的 商业 使 用 。 

蜡 9j 在 “配置 证 书 数据 库 ” 对 话 框 中 ， 选 择 证 书 数据 库 与 证 书 日 志 的 保存 位 置 ， 在 此 选择 默 


认 值 即 可 ， 如 图 16-179 所 示 。 
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图 16-179 证 书 数据 库 保存 位 置 


图 16-178 设置 有 效 期 

加 在 “Web 服务 器 ”对 话 框 中 ， 显 示 了 Web 服务 器 ( IIS ) 的 简要 信息 ， 如 图 16-180 所 示 。 

ii 到 在 随后 出 现 的 “选择 角色 服务 ”对 话 框 中 ， 显 示 并 默认 选中 了 安装 “证 书 颁发 机 构 Web 
注册 ”所 需要 的 Web 服务 器 组 件 ， 在 此 保持 默认 值 即 可 ， 如 图 16-181 所 示 。 

型 到 在 “确认 安装 选择 ”对 话 框 中 ， 显 示 了 将 要 安装 的 独立 证 书 服务 器 的 相关 消息 ， 确 认 无 


误 之 后 ， 单 击 “ 安 装 ” 按 钮 ， 如 图 16-182 所 示 。 
加 出 随后 Windows Server 2008 安装 程序 ， 将 开始 独立 证 书 服务 器 的 安装 ， 直 到 安装 完成 ， 如 


图 16-183 所 示 。 
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Web 服务 器 (TIS) 


图 16-182 ”安装 前 确认 信息 图 16-183 ”安装 完成 
16.7.3 ”配置 证 书 服务 器 


在 安装 完 标准 证 书 服务 器 后 ,为 了 简化 实验 的 步骤 , 可 以 将 标准 证 书 服务 器 配置 成 “自动 颁发 
申请 的 证 书 ” 另外 ， 为 了 让 客户 端 计算 机 (包括 Forefront TMG)， 验 证 证 书 服务 器 的 吊销 列表 ， 
需要 单独 修改 CRL (如 果 证 书 服务 器 是 Windows Server 2003， 则 不 需要 做 此 设置 )， 其 步骤 如 下 。 


四 和 进入 “服务 器 管理 器 ”， 定 位 到 “角色 一 Active Directory 证 书 服务 一 STD-CA”， 单 击 鼠 
标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 如 图 16-184 所 示 。 


“STD-CA” 是 证 书 服务 器 的 计算 机 名 称 。 


io3 在 “STDCA-CA 属性 ”对 话 框 的 “扩展 ”选项 卡 中 ， 在 “选择 扩展 ”下 拉 列 表 中 选择 
“CRL 分 发 点 ( CDP ”选项 ,选中 “http://ServerDNSName>/CertEnroll/<CaName><CRLNAMESuffix> 
<DeltaCRLAllowed>.crl” 一 行 ， 然 后 单 击 选中 “包括 在 CRL 中 。 客户 端 用 它 来 寻找 增 量 CRL 的 位 
置 。”、 “包含 在 颁发 的 证 书 的 CDP 扩展 中 ”、“ 包 括 在 已 发 布 的 CRL 的 IDP 扩展 中 ” 复 选 框 ， 
如 图 16-185 所 示 。 


.554 。 
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文件 四 “操作 查看 % 帮助 9 


证 书 管理 和 | 注册 代理 | 审核 | 必要 代理 | 去 全 | 
党 搞 ”| 该 加 模块 | 退出 昼 决 扩展。 | 存 入 
选择 扩展 o): 

[cer 5 点 ca 习 
括 二 用 户 可 以 芝 台 证 书 吊 销 列表 HL) 的 位 置 )。 


名 是 | 方 | 而 | 日 GG 


,| IT e 


[Cindons\systen2\Certsrr CertEnroll\ Talane > TRI NneSuFi 


日 守 


和 
习 类 的 申 | 
加 大 reb 有 入 芝 CTS) 证 
田 台风 集中 和 访 i 
芒 能 


图 16-184 ”证书 属 性 


到 服务 器 管理 器 WSEEVER) VPE-SERVER-CA 
如 六 色 名 各 


六 吉 里 CED 二 布 到 比 位 于 站 让 


克 包括 在 已 发 布 的 CRL 的 IDF 扩展 中 CD) 


16-185 添加 CDP 


然后 单 击 “ 添 加 ”按钮 ， 添 加 “证 书 吊销 列表 ”, 在 添加 的 时 候 ， 添 加 的 站 点 是 Forefront TMG 
发 布 到 Internet 的 对 外 名 称 ， 在 本 例 中 是 camsftcom， 然 后 再 添加 证 书 吊 销 列 表 文件 所 在 的 虚拟 目 
录 及 证 书 吊销 列表 文件 。 可 以 打开 “Internet 信息 服务 管理 器 ”， 在 默认 网 站 中 找到 ， 其 虚拟 目录 
为 “CertEnroll”， 证 书 吊销 列表 文件 是 证 书 的 名 称 〈 单 击 “ 内 容 视图 ”可 以 看 到 网 站 文件 ) 。 在 
本 例 中 ， 添 加 的 内 容 为 http://ca.msft.com/certenrollstdca-ca.crl。 为 了 添加 的 时 候 不 至 于 出 错 ， 可 以 
通过 排列 窗口 到 图 16-186 的 方式 进行 添加 ， 这 样 填写 的 时 候 就 比较 容易 了 。 


本 到 
证 书 管理 器 | 注 基 代理 | 市 疼 。 | 必 复 人 里 | 安全 
草 损 。 | 评 嘛 棱 淆 | 如 出 而 块 。。 扩展。 | 存 给 


交 件 0) 损人 0 查看 8。 王 
和 路 为 癌 | 回 
r 


大 STO TDEAAinini 
a 


和 


恬 内 | 组 人 :站 


目录 
| Fa ne 


mi 


定时 


16-186 添加 CRL 分 发 点 


添加 完成 之 后 ， 选 中 “包括 在 CRL 中 ”“ 包 含 在 颁发 的 证 书 的 CDP 扩展 中 ”“ 包 括 在 己 发 布 


的 CRL 的 IDP 扩展 中 ” 复 选 框 。 
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3j 在 “选择 扩展 ”下 拉 列 表 中 选择 “颁发 机 构 信 息 访 问 (AIA ) ”选项 ， 选 中 
“http://ServerDNSName>/CertEnroll/<ServerDNSName><CaName><CertificateName>.crt” 一 行 ， 然 


后 单 击 选中 “包含 在 颁发 的 证 书 的 AIA 扩展 中 ”、 


复 选 框 ， 如 图 16-187 所 示 。 


“包括 在 联机 证 书 状态 协议 (OCSP ) 


16-187 颁发 AIA 


扩展 中 ” 


然后 单 击 “ 添 加 ”按钮 ， 添 加 http://ca.msft.comy/certenroll/stdca-ca.crl， 如 图 16-188 所 示 ， 添 加 


之 后 ， 选 中 “包含 在 颁发 的 证 书 的 AIA 扩展 中 ”、 


一 | 以 丰 代理 | 安全 


人 ”| 下 上 nes 


其 抽 。 | 加 查 栅 快 | 天 全 块 


a 
| 


rr 7 
[ESDEEOIYJ 


NR ch FE 过 


- 
本 =- 


ta 人 A 
"ER ; 


司 “cerumrsll" 任务 


了] 切 扩 到 功能 视图 


取消 E79 站 ls 


Ee 
名 硬 了 

全 和 要 为 应 用 程序 

了》 未 加 应 用 程 订 

EE 
上 | 


CS 


| 


区 ms 


芝兰 上 目录 ch” 
L 


16-188 添加 AIA 


“包括 在 联机 证 书 状态 协议 (OCSP) 扩展 中 ”。 


四 4 在 “策略 模块 ”选项 卡 中 ， 单 击 “ 属 性 ”按钮 ， 在 弹出 的 “属性 ”对 话 框 中 ， 选 中 “如 


果 可 以 的 话 ， 按 照 证 书 模板 中 的 设置 。 否则， 


将 自动 颁发 证 书 ” 单 选 按钮 ， 这样， 用 


户 申请 的 证 书 
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将 会 自动 颁发 ， 如 图 16-189 所 示 。 设 置 完成 之 后 ， 单 击 “ 确 定 ” 按 钮 。 


THE EE 


# 展 
HE 了 
Ht 
折 要 所有 本 本 ssseEt Cerprreticn 人 全 所 六 祝 利 


16-189 ”自动 颁发 证 书 


在 实验 或 学 习 中 ， 为 了 简化 操作 步 又， 让 大 家 尽快 入 门 ， 才 设置 自动 颁发 证 书 。 在 商业 使 有 中， 或 
者 在 安全 性 要 求 较 高 的 地 方 ， 最 好 是 保持 默认 值 : 让 管理 员 手动 颁发 每 一 个 申请 的 证 书 。 


t@g 配置 了 证 书后 ， 需 要 让 证 书 服务 重新 启动 才能 生效 ， 如 图 16-190 所 示 。 
16.7.4 创建 访问 规则 


全 hetive Direetory 证 和 朋 
在 Foreftont TMG 的 计算 机 上 ， 创 建 2 条 访问 规则 :允许 让 
从 “任何 地 点 ”以 “ping” 协 议 访问 “任何 地 址 ” 另 1 条 是 允 A 有 
许 “ 本 地 主机 ”访问 “内 部 ”. 其 中 第 2 条 规则 ， 可 以 参考 前 文 。 “图 16-190 重启 让 证 书 服务 生效 
“16.4.2 通过 案例 介绍 访问 规则 与 服务 器 发 布 规则 ”中 “1. 访 
问 规 则 1 的 创建 ”的 内 容 ， 将 “VLAN18” 换 成 “内 部 ” 即 可 。 在 此 主要 介绍 第 1 条 规则 的 创建 ， 
步骤 如 下 。 


0 和 在 Forefront TMG 的 控制 管理 台中 ， 在 左 侧 窗 格 中 右 击 “ 防 火 墙 策略 ”节点 ， 在 弹出 的 
快捷 菜单 中 选择 “新 建 一 访问 规则 ”命令 ， 如 图 16-191 所 示 。 


16-191 
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lO3 在 “欢迎 使 用 新 建 方 访问 规则 向 导 ” 对 话 框 中 , 设置 访问 规则 名 称 为 “ping”, 如 图 16-192 
所 示 。 

to 引 在 “规则 操作 ”对 话 框 中 选择 “允许 ”。 

io 多 在 “协议 ”对 话 框 中 选择 “ping”， 如 图 16-193 所 示 。 


EFFI | EEEERTEG 固 
区 好 使 用 新 建 访问 规则 向 导 Ran 
有 一 个 省 的 前 。 尖 直 让 一 个 同 
es 


Errme py 
Fe 


要 红 红 青蛙 下 ”下 把 " 


民 上 一 步 四 | 下 一 步 n | 取消 
图 16-192 规则 名 称 图 16-193 选择 ping 协议 

tog 在 “访问 规则 源 ” 对 话 框 中 添加 “任何 地 点 ”， 如 图 16-194 所 示 。 

to8@ 在 “访问 规则 目标 ”对 话 框 中 添加 “任何 地 点 ”， 如 图 16-195 所 示 。 


ETT | 
此 指定 的 二 。 bs er 
直 规 由 应 用 于 末 自 这 些 源 有 的 通讯 
orm ES 
编 证 区 ) 钴 辑 让 ) 
id) 
《上 - 步 号 | 下 一 吻 吕 > 取消 
16-194 ”访问 规则 源 16-195 ”访问 规则 目标 


0 其 他 选择 默认 值 即 可 。 
tQ8j 然后 再 添加 允许 “本 地 主机 ”以 “所 有 协议 ”访问 “内 部 ”的 访问 规则 。 
toO9j 创建 完 访问 规则 后 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 。 


16.7.5 ”为 服务 器 申请 证 书 


在 配置 好 证 书 服务 器 后 ， 接 下 来 的 工作 是 为 VPN 服务 器 申请 “服务 器 证 书 ” 并 将 该 证 书 保存 
在 “计算 机 存储 ”中 。 


申请 计算 机 证 书 的 时 候 一 定 要 注意 ,申请 的 证 书 的 名 称 要 与 VPN 服务 器 对 外 提供 的 名 称 相同 。 
例如 ， 在 本 例 中 ，VPN 服务 器 对 外 的 名 称 为 sstp.msft.com。 


1. 修改 IE 浏览 器 设置 以 允许 运行 ActiveX 脚本 
在 第 一 次 从 “证 书 服务 器 ”申请 证 书 时 ， 主 要 分 为 3 个 部 分 : 修改 正 浏览 器 设置 、 信 任 根 证 
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书 颁发 机 构 、 申 请 并 安装 证 书 。 下 面 分 别 介绍 ， 首 先 看 “修改 正 浏览 器 设置 ”部 分 的 内 容 。 


to0 在 Forefront TMG 计算 机 上 ,使 用 正 进入 证 书 申请 窗口 。 在 本 例 中 ， 地 址 为 
http://192.168.254.10/certsrv， 如 图 16-196 所 示 。 


erents hetive part 


使 用 此 网 站 为 你 的 Web 测 鉴 杏 、 电 子 者 件 者 户 这 或 其 ,及 了 
Web 进行 还 信用 户 克 你 身份、 等 名 并 加 变 部 件 ， 并 要 你 训话 的 


有 关 Active Directory 证 书 可 多 的 详细 人 所， 泛 大 疗 Active Directory i 


全 人 人: 


吉 关 拉 起 罗 证 十 诺 半 的 技术 


16-196 证 书 申请 


tQ3 在 申请 证 书 之 前 ， 需 要 修改 正 的 默认 设置 ， 允 许 运 行 ActiveX 脚本 以 从 证 书 服务 器 申请 
证 书 。 在 “工具 ”菜单 选择 “Internet 选项 ”。 为 了 能 从 证 书 服务 器 申请 证 书 ， 需 要 将 证 书 颁发 站 
点 添加 到 “可 信 站 点 ”图 标 ， 并 修改 安全 级 别 。 在 “安全 ”选项 卡 中 ， 选 中 “可 信 站 点 ”图 标 ， 单 
击 “ 站 点 ”按钮 ， 在 弹出 的 “可 信 站 点 ”对 话 框 中 ， 将 http://192.168.254.10 添加 到 列表 中 ， 并 取 
消 选中 “对 该 区 域 中 的 所 有 站 点 要 求 服务 器 验证 ” 复 选 框 ， 如 图 16-197 所 示 。 


Er 


图 16-197 添加 证 书 颁发 网 站 到 可 信和 网 站 


lg 添加 可 信 站 点 之 后 ， 单 击 “ 关 闭 ” 按 钮 返回 到 “安全 ”选项 卡 ， 并 单 击 “ 自 定义 级 别 ” 
按钮 (如果 “ 自 定义 级 别 ” 按 钮 不 可 用 ， 请 先 单 击 “ 默 认 级 别 ” 按 钮 ) ， 在 弹出 的 “安全 设置 - 受 
信任 的 站 点 区 域 ” 对 话 框 中 ， 在 “ActiveX 控件 和 插件 ”选项 中 ， 须 “启用 ”各 个 选项 ， 这 包括 
“ActiveX 控件 自动 提示 ”、“ 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚本 ”、“ 对 未 标记 
为 可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 执行 ”、“ 二 进 制 脚本 行为 ”、“ 下 载 未 签名 的 ActiveX 
控件 ”、“ 下 载 已 签名 的 ActiveX 控件 ”、“ 人 允许 Scriptlet”、 “允许 运 行 以 前 未 使 用 的 ActiveX 
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而 不 提示 ”、“ 运 行 ActiveX 控件 和 插件 ”等 ， 如 图 16-198 所 示 。 设 置 完成 之 后 ， 单 击 “ 确 定 ” 
按钮 ， 在 弹出 的 “警告 ”对 话 框 中 ， 单 击 “ 是 ”按钮 ， 如 图 16-199 所 示 。 


Steger i 


庆生 白 证 X 讼 呈 | 
0 砚 区 要 更 区 和? 
CI wm | 于] 
图 16-198 启用 ActiveX 控件 16-199 ”更改 区 域 


2 信任 根 证 书 颁 发 机 构 

接 下 来 的 操作 ， 是 “信任 ” 根 证 书 颁 发 机 构 。 一 般 的 方法 是 下 载 根 书 并 导入 “本 地 计算 机 一 受 
信任 的 根 证 书 颁 发 机 构 ” 中 ， 本 文 介绍 另 一 种 方法 。 

I 和 1 设置 完成 之 后 ， 返 回 到 证 书 申 请 窗口 ， 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 链 接 ， 进 
入 “下 载 CA 证 书 、 证 书 链 或 CRL” 对 话 框 ， 单 击 “ 下 载 CA 证 书 ” 链 接 ， 在 弹出 的 对 话 框 中 单 击 
“打开 ”按钮 ， 如 图 16-200 所 示 。 


下 载 CA 和 证书 、 证 书 链 或 CRL 


邦 要 信任 从 该 证 书 仁 发 机 构 磊 发 的 证 书 ,请 安装 此 CA 证 书馆 
要 下 载 一 个 CA 证 书 、 证 书 翌 琵 CRL , 选择 证 书 和 师 三 方法。 


16-200 ”打开 证 书 


t@3 在 弹出 的 “证 书 ” 对 话 框 中 可 以 看 到 ， 当 前 CA 根 证 书 不 受信 任 ， 如 图 16-201 所 示 ， 单 
击 “ 安 装 证 书 ” 按 钮 。 

03 在 “欢迎 使 用 证 书 导 入 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 16-202 所 示 。 

I0 旨 在 “证 书 存储 ”对 话 框 中 ， 选 中 “将 所 有 的 证 书 放 入 下 列 存 储 ” 单 选 按钮 ， 单 击 “ 浏 览 ” 
按钮 ， 在 弹出 的 “选择 证 书 存 储 ” 对 话 框 中 ， 选 中 “显示 物理 存储 区 ” 复 选 框 ， 然 后 在 “选择 要 使 
用 的 证 书 存储 ”列表 框 中 选择 “受信 任 的 根 证 书 颁发 机 构 一 本 地 计算 机 ”， 如 图 16-203 所 示 。 


“560™ 
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16-203 ”保存 在 计算 机 存储 中 
io 名 在 “正在 完成 证 书 导 入 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-204 所 示 。 


16-204 ”完成 证 书 导入 向 导 


3. 申请 服务 器 证 书 


在 “信任 根 证 书 颁发 机 构 ” 之 后 ， 就 可 以 申请 “服务 器 证 书 ” 了 ， 接 下 来 将 申请 名 为 
“sstp.msft.com” 的 服务 器 证 书 ， 并 且 在 申请 证 书 的 时 候 要 “标记 密 钥 为 可 导出 ”申请 的 主要 步 
又 如 下 。 


0 和 在 证 书 申请 网 站 (本 例 为 http://192.168.254.10/certsrv ) ， 返 回 到 证 书 申请 窗口 ， 单 击 “ 申 
请 证 书 ” 链 接 ， 如 图 16-205 所 示 。 


“561% 
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io 双 在 “申请 一 个 证 书 ” 窗 口 ， 单 击 “高 级 证 书 申请 ”链接 ， 如 图 16-206 所 示 。 


何以 禁用 此 网 站 下 才 正 世上 册 1SICAj 让 书证 书本 征 书 叶 箱 列 于 (CRL) ,看 吉 和 村 直 中 于 认 本 7] 


的 大 基 夫 | 
ET 可 | 


有 关 Active Directory 证 书 腿 务 的 详细 信息 ， 汀 参阅 Active Directory 证 书 谭 务 文档 
eee sete Dicertory EPR SOA CA 
“和 


这 | 申请 一 个 证 蔬 
J 开 ck 证 书 、 证 书 情 或 CRL 


Web 浏览 


I Fa 二 nl | 
图 16-205 ”申请 证 书 图 16-206 高 级 证 书 申请 
to3j 在 “高 级 证 书 申请 ”窗口 ， 单 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ”链接 ， 如 图 16-207 所 示 。 
io 纪 申请 证 书 的 时 候 ， 有 3 个 关键 点 : 证 书 的 名 称 要 与 Forefront TMG 对 外 显示 的 名 称 一 致 、 
证 书 类 型 选择 “服务 器 身份 验证 证 书 ” 选 项 、 选 中 “标记 密 钥 为 可 导出 ” 复 选 框 ， 如 图 16-208 所 
示 。 其 他 可 以 随意 设置 。 


站 
es 


图 16-208 ”证书 申请 页 

iD 名 如 果 在 证 书 服务 器 的 属性 对 话 框 中 , 设置 了 自动 颁发 证 
书 ， 则 会 提示 “证 书 已 颁发 ”， 单 击 “ 安 装 此 证 书 ” 链 接 ， 即 可 
安装 证 书 ， 如 图 16-209 所 示 。 


4. 在 Windows 2008 中 导出 用 户 证 书 并 导入 到 计算 机 存储 中 


在 安装 完 证 书 之 后 ， 还 需要 将 证 书 从 “用 户 存储 ”中 导出 ， 
然后 导入 到 “计算 机 存储 ” 中 ， 才 能 为 VPN 服务 器 使 用 。 在 本 例 - = 
中 ， 我 们 将 使 用 MMC 控制 台 ， 通 过 添加 用 户 与 计算 机 证 书 的 方 0 
式 ， 完 成 这 一 过 程 。 


口 保存 响应 
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出 运行 MMC， 添 加 两 次 “证 书 ” 管 理工 具 ， 在 添加 的 时 候 ， 分 别 添加 “当前 用 户 ” 与 “本 
地 计算 机 ?, 然后 定位 到 “证 书 - 当 前 用 户 一 个 人 一 证 书 ” 节 ,在 右 侧 窗 格 选 中 已 经 安装 的 sstp.msft.com 
证 书 ， 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 一 导出 ”命令 ， 如 图 16-210 所 示 。 
到 在 “导出 私 钥 ” 对 话 框 中 ， 选 中 “是 ， 导 出 私 钥 ” 单 选 按 钮 ， 如 图 16-211 所 示 。 


E21 


MER sop 外 人 而 -页 上 外 和 至 
ET 


了 冲 扣 上 a 现任 和 多 信 息 
=| 
16-210 ”导出 证 书 图 16-211 导出 私 钥 


to 在 “导出 文件 格式 ”对 话 框 中 ， 选 中 “如 果 导 出 成 功 ， 删 除 私 钥 ” 复 选 框 ， 如 图 16-212 
所 示 。 这 样 ， 可 以 防止 他 人 再 导出 证 书 。 
四 弛 在 “密码 ”对 话 框 中 设置 密码 ， 用 来 保护 导出 的 私 钥 ， 如 图 16-213 所 示 。 


FEE > 
市 到 
要 人 WE 安 辣 ， 交 公允 而 齐 码 保护 权 同 。 
诗 入 天王 认 市 太 * 
0 
es 
T= < 上 -om 二 5 ab | 
图 16-212 导出 成 功 删 除 密 钥 图 16-213 设置 保护 密码 


tog 在 “要 导出 的 文件 ”对 话 框 中 ， 单 击 “ 浏 览 ” 按 钮 ， 为 导出 的 证 书 设置 保存 的 路 径 与 保 
存 文 件 名 ， 如 图 16-214 所 示 。 在 本 例 中 ， 将 证 书 导 出 到 “桌面 ”， 并 设置 保存 文件 名 为 sstp.pfx。 
to8j 导出 成 功 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-215 所 示 。 


B= Li TE BE: 


图 16-214 设置 保存 文件 名 图 16-215 导出 成 功 
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上 到 导出 证 书 完成 之 后 ， 返 回 到 控制 台 ， 定 位 到 “证 书 一 个 人 一 证 书 ”， 在 右 侧 的 空白 窗 格 
中 用 鼠标 右键 单 击 ， 从 弹出 的 快捷 菜单 中 选择 “所 有 任务 一 导入 ”命令 ， 如 图 16-216 所 示 。 

ti 到 在 “证 书 导 入 向 导 一 要 导入 的 文件 ”对 话 框 中 ， 选 择 前 面 导出 的 证 书 文件 ， 如 图 16-217 
所 示 。 


图 16-216 导入 证 书 图 16-217 选择 要 导入 的 证 书 
to9 在 “密码 ”对 话 框 中 ， 输 入 保护 私 钥 的 密码 ， 如 图 16-218 所 示 。 

加 在 “证 书 存储 ”对 话 框 中 ， 选 择 默认 值 。 

| 导入 成 功 之 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 16-219 所 示 。 


图 16-218 输入 保护 密码 16-219 ”导入 完成 

16.7.6 配置 Forefront TMG 使 用 SSTP 协议 

在 配置 Forefront TMG 使 用 SSTP 协议 之 前 , 还 需要 创建 一 个 使 用 SSL 协议 的 “Web 侦 听 器 ”， 
并 且 “Web 侦 听 器 ” 绑 定 的 证 书 是 前 文 申请 并 导入 到 “计算 机 存储 ”中 的 证 书 。 创 建 “Web 侦 听 
器 ”的 主要 步骤 如 下 。 

四 和 定位 到 Forefront TMG 的 “防火 墙 策略 ”中 ， 在 右 侧 窗 格 的 “工具 箱 ” 选 项 卡 中 ， 在 “网 
络 对 象 ”中 单 击 “新 建 ”按钮 ， 在 下 拉 菜 单 中 选择 “Web 侦 听 器 ”命令 ， 如 图 16-220 所 示 。 

io 到 在 “欢迎 使 用 新 建 Web 侦 听 器 向 导 ” 对 话 框 中 ， 设 置 一 个 名 称 ， 在 此 为 SSTP VPN， 如 
图 16-221 所 示 。 


.564 。 
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图 16-220 新 建 Web 侦 听 器 图 16-221 为 Web 侦 听 器 设置 名 称 
to3 在 “客户 端 连接 安全 设置 ”对 话 框 中 ， 选 中 “需要 与 客户 端 建立 SSL 安全 连接 ” 单 选 按 

钮 ， 如 图 16-222 所 示 。 
四 4 在 “Web 侦 听 器 卫 地 址 ”对 话 框 中 ， 选 中 “外 部 ” 复 选 框 ， 如 图 16-223 所 示 。 


i mr preteen a nr 


图 16-222 使 用 SSL 安全 连接 


16-223 ” 侦 听 器 地 址 


io 名 在 “ 侦 听 器 SSL 证 书 ” 对 话 框 中 ， 单 击 “ 选 择 证 书 ”按钮 ， 在 弹出 的 “选择 证 书 ” 对 话 
框 中 选择 前 文安 装 的 证 书 ， 如 图 16-224 所 示 。 


16-224 ”为 Web 侦 听 器 选择 证 书 
tog@j 其 他 选择 默认 值 。 
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在 创建 好 SSL Web 侦 听 器 后 ,配置 VPN 服务 器 , 为 VPN 服务 器 选择 SSTP 协议 并 选择 SSL Web 
侦 听 器 ， 主 要 步骤 如 下 。 


四 在 Forefront TMG 控制 台中 ， 定 位 到 “远程 访问 策略 (VPN ) ”1 节 ， 选 中 “VPN 客户 
端 ”， 在 “任务 ”选项 卡 中 单 击 “配置 VPN 客户 端 访问 ”链接 ， 如 图 16-225 所 示 。 


ET 
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16-225 配置 VPN 客户 端 访问 


需要 提前 将 Forefront TMG 配置 为 VPN 服务 器 ， 有 关 这 些 操作 ， 可 参见 “16.5.1 在 Forefront TMG 
中 启用 VPN 服务 器 ”一 节 内 容 。 


to3 在 “VPN 客户 端 属性 ”对 话 框 中 ， 在 “协议 ”选项 卡 中 ， 选 中 “启用 SSTP” 复 选 框 ， 
并 单 击 “ 选 择 侦 听 器 ”按钮 ， 在 弹出 的 “为 SSTP 选择 Web 侦 听 器 ”对 话 框 中 ， 选 择 “SSTP VPN” 
选项 ， 如 图 16-226 所 示 ， 并 单 击 “确定 ”按钮 ， 返 回 到 “VPN 客户 端 属性 ”对 话 框 ， 再 次 单 击 
“确定 ”按钮 ， 完 成 设置 。 


CRETE | 
| 组 [ws emi ms 1 


选 皇 运 埋 访 问 连 接 可 用 9 隧道 几 议 
FP Mer om 


FTTF 为 远程 访问 提供 一 个 安全 A 和 注 罕 方式 


FF BR m/see 四 


确定 阳 消 应 用 CD) 
16-226 ”启用 SSTP 协议 
设置 完成 后 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 ， 如 图 16-227 所 示 。 
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16-227 让 设置 生效 
16.7.7 ”修改 NPS 访问 策略 
在 使 用 Forefront TMG 配置 SSTP VPN 服务 器 的 时 候 ， 需 要 修改 NPS 策略 ， 步 骤 如 下 . 


IQ 在 “服务 器 管理 器 ”中 ， 定 位 到 “角色 一 网 络 策略 和 访问 服务 一 NPS (本 地 ) 一 策略 一 
连接 请 求 策略 ” 节 ， 在 中 间 窗 格 用 鼠标 右 击 “Microsoft 路 由 和 远程 访问 服务 策略 ”， 在 弹出 的 快 
捷 菜单 中 选择 “属性 ”命令 ， 如 图 16-228 所 示 。 


训 特 中 作 的 小 看 由 部 陋 00 
| ii 


16-228 属性 


tO3 在 “Microsoft 路 由 和 远程 访问 服务 策略 属性 ”对 话 框 中 ， 单 击 “ 设 置 ”选项 卡 ， 在 “ 身 
份 验证 方法 ”一 节 ， 选 中 “改写 网 络 策略 身份 验证 设置 ” 复 选 框 ， 并 在 “EAP 类 型 ”列表 中 添加 
“Microsoft 安全 密码 (EAP-MSCHAP v2 ) ”， 同 时 选中 “Microsoft 加 密 的 身份 验证 版 本 2 
(MS-CHAP-v2 ) ”与 “Microsoft 加 密 的 身份 验证 (MS-CHAP ) ” 复 选 框 ， 如 果 人 允许 VPN 用 户 更 
改 密码 ， 可 以 选中 “用 户 可 以 在 密码 过 期 后 更 改 密码 ” 复 选 框 ， 如 图 16-229 所 示 。 
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16-229 ”改写 网 络 策略 身份 验证 设置 
设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 。 
16.7.8 为 SSTP VPN 服务 器 创建 防火 墙 规则 
最 后 ,还 需要 创建 网 站 发 布 规则 (发布 证 书 服务 器 到 Intemet)、 创 建 网 络 访问 规则 (允许 VPN 
客户 端 访问 “内 部 ”)， 下 面 介绍 主要 步 又。 


0 在 Forefront TMG 控制 台 的 “防火 墙 策略 ”中 创建 “网 站 发 布 规则 ”， 在 “欢迎 使 用 新 
建 Web 发 布 规则 向 导 ” 对 话 框 中 ， 设 置 规则 名 称 为 “发 布 证 书 服务 器 到 192.168.254.10”， 如 图 


16-230 所 示 。 
tO3 在 “内 部 发 布 详细 信息 ”对 话 框 中 ， 选 中 “使 用 计算 机 名 称 或 卫 地 址 连接 到 发 布 的 服务 
器 ”， 并 且 设 置 服务 器 的 卫 地 址 为 192.168.254.10， 如 图 16-231 所 示 。 


内 部 必 布 详 缚 信息 


欢迎 使 用 新 建 Neb 发 布 规则 向 导 二 记 机 次 布下 训 名 将 
站 和 上 和 D I 
人 AA 


PE i 


机 续 ,读音 让 "下 一 上 "。 


末 凌 了 计算 机 名 称 匠 切 起 直流 按 尖 布 的 县 务 器 0) 
计 莽 机 人 和 或 王 如 址 克 ) 3 100 250.10 E02 
a | 
16-230 发布 Web 服务 器 16-231 ”指定 服务 器 他 地址 


3) 在 “公共 名 称 细节 ”对 话 框 中 , 在 “公用 名 称 ” 文 本 框 中 输入 “ca.msft.com”, 如 图 16-232 


所 示 。 
i@O 绚 在 “选择 Web 侦 听 器 ”对 话 框 中 ， 选 择 “Web Detect” 选 项 ， 如 图 16-233 所 示 。 
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图 16-232 指定 公用 名 称 图 16-233 选择 Web 侦 听 器 


i@ 甸 创建 完 Web 服务 器 发 布 规则 后 ， 接 下 来 创建 访问 规则 ， 并 设置 访问 规则 名 称 为 “允许 
VPN 访问 内 部 ”。 

iog@j 在 “访问 规则 源 ” 对 话 框 中 ， 添 加 “VPN 客户 端 ”及 “被 隔离 的 VPN 客户 端 ”， 如 
图 16-234 所 示 。 


16-234 ”访问 规则 源 图 16-235 访问 规则 目标 


ij 创建 完 服务 器 发 布 规则 与 访问 规则 后 ， 单 击 “ 应 用 ”按钮 ， 让 设置 生效 ， 如 图 16-236 
所 示 。 


图 16-236 让 设置 生效 
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16.7.9 基于 SSTP 的 VPN 客户 端的 测试 
在 Windows 7 的 客户 端 计算 机 上 ， 使 用 SSTP 协议 呼叫 VPN 服务 器 ， 主 要 内 容 包 括 : 


@ ”信任 根 证书 颁 发 机 构 。 
@ 创建 VPN 拨号 连接 并 以 SSTP 协议 呼叫 VPN 服务 器 。 


这 些 内 容 ， 在 第 15 章 中 有 过 介绍 ， 下 面 介绍 主要 步骤 。 


0 和 在 Windows 7 客户 端 ， 设 置 卫 地 址 为 202.206.197.121， 如 图 16-237 所 示 。 


102 修改 ci\windows\system32\drivers\etc\hosts 文件 ， 添 加 ca.msft.com 与 sstp.msft.com 到 


202.206.197.125， 如 图 16-238 所 示 。 
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图 16-237 设置 全 地 址 16-238 ”修改 hosts 文件 


03 登录 http://ca.msft.com/certsrv 并 “下 载 CA 证 书 ” (如 图 16-239 所 示 ) ， 然 后 将 其 导入 


到 “本 地 计算 机 存储 中 ”， 如 图 16-240 所 示 。 


下 载 CA 证 书 、 证 书 链 或 CRL 
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图 16-239 下 载 并 保存 CA 证 书 16-240 导入 到 本 地 计算 机 存储 中 
04 创建 VPN 连接 ， 指 定 VPN 服务 器 的 地 址 为 sstp msftcom， 如 图 16-241 所 示 。 
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图 16-241 指定 VPN 服务 器 的 域名 


io 色 创建 完 VPN 服务 器 后 ,修改 VPN 服务 器 的 属性 ， 打 开 “ 安 全 ”项 选 卡 ,， 在 “VPN 类 型 
下 拉 列 表 中 选择 “安全 套 接 字 隧 道 协议 (SSTP) ”选项 ， 并 在 “身份 验证 ”选项 组 中 选中 “使 用 
可 扩展 的 身份 验证 协议 ” 单 选 按钮 (如 图 16-242 所 示 ) 或 选中 “人 允许 使 用 这 些 协 议 ” 单 选 按钮 ， 
如 图 16-243 所 示 ( 两 者 选 一 即 可 ) 。 
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16-242 EAP 协议 16-243 ”使 用 MS-CHAP v2 协议 
to6j 设置 完成 之 后 ,拨号 VPN 服务 器 , 即 可 以 以 SSTP 协议 连接 到 VPN 服务 器 , 如 图 16-244 
所 示 。 


图 16-244 ”以 SSTP 协议 呼叫 VPN 服务 器 成 功 
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16.7.10 ”常见 故障 及 解决 方法 


在 本 次 案例 中 ， 可 能 会 出 现 的 故障 有 : 
(1) 错误 649: VPN 用 户 没有 拨 入 权限 ， 错 误 如 图 16-245 所 示 。 
出 现 这 个 错误 时 ， 需 要 修改 VPN 服务 器 端 ， 将 VPN 用 户 的 “ 拨 入 属性 ”设置 为 “允许 拨 入 ” 
即 可 。 
(2) 错误 812: RAS/VPN 服务 器 上 的 配置 策略 阻止 ， 如 图 16-246 所 示 。 
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图 16-245 ”VPN 用 户 没 有 拨 入 权限 16-246 错误 812 


出 现 这 个 错误 是 由 于 在 VPN 服务 器 上 , 没有 配置 NPS 服务 器 ， 如 果 要 解决 这 个 问题 ， 可 参照 
“16.7.7 修改 NPS 访问 策略 ”一 节 进 行 设 置 。 
(3) 错误 0x80092013: 吊销 服务 器 已 脱 机 ， 如 图 16-247 所 示 。 


oo 正在 合用 "RA Waport_ CT 
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关于 晶 二 记录 示 克 请 痢 这 本 


i 和 
CC 
16-247 ”吊销 服务 器 已 脱 机 
出 现 这 个 错误 时 ， 可 能 的 原因 是 : 


@ 证 书 服务 器 已 经 脱 机 ， 或 者 证 书 服务 器 所 属 的 Web 服务 器 没有 启动 。 
e@ Forefront TMG 没有 将 “证 书 服务 器 ”发 布 到 Internet。 


可 参照 “16.7.3 配置 证 书 服务 器 ”一 节 内 容 进行 设置 。 


